This site uses cookies to enhance your experience.  By continuing to visit this website, you consent to the use of these cookies. Click here to learn more about our privacy policy.

Sanfor Technologies Blog Background Image

【二次通告】Microsoft MSHTML 遠程代碼執行漏洞 CVE-2021-40444

2021-09-14
0
Remote Code Execution Vulnerability

漏洞名稱 :

Microsoft MSHTML遠程代碼執行漏洞 CVE-2021-40444


組件名稱 :

Microsoft MSHTML


影響範圍 :

Windows 7 for 32/x64-based Systems Service Pack 1
Windows RT 8.1
Windows 8.1/10 for 32/x64-based Systems
Windows 10 Version 1607 for 32/x64-based Systems
Windows 10 Version 2004/1809/1909/20H2/21H1 for 32/x64/ARM64-based Systems
Windows Server 2012/2012 R2/2016/2022
Windows Server 2008 R2 for x64-based Systems Service Pack 1/2
Windows Server 2004/2012/2012 R2/2016/2019/20H2/2022 (Server Core installation)


漏洞類型 :

遠程代碼執行


利用條件 :

  1. 用戶認證:不需要用戶認證

  2. 觸發方式:遠程

綜合評價 :

<綜合評定利用難度>:未知。


<綜合評定威脅等級>:高危,能造成遠程代碼執行。

漏洞分析


1.組件介紹

MSHTML 是微軟的窗口操作系統(Windows)搭載的網頁瀏覽器—Internet Explorer的排版引擎的名稱。 MSHTML是微軟公司的一個COM組件,該組件封裝了HTML語言中的所有元素及其屬性,通過其提供的標準接口,可以訪問指定網頁的所有元素。 ActiveX控件是微軟公司的COM架構下單產物。其在Windows操作系統中應用廣泛,Windows中的Office套件,IE瀏覽器等產品中有廣泛應用。通過ActiveX控件可以與微軟的MSHTML組件進行交互。


2.漏洞描述

今日,深信服安全團隊監測到一則Microsoft MSHTML組件存在遠程代碼執行漏洞的信息,漏洞編號:CVE-2021-40444,漏洞威脅等級:高危。


該漏洞的是由於組件自身缺陷而引起的,攻擊者可利用該漏洞,通過構造惡意的Office文檔發送給被攻擊方,最終導致遠程代碼執行。


影響範圍

微軟ActiveX控件是微軟公司的COM架構下單產物。其在Windows操作系統中應用廣泛,Windows中的Office套件,IE瀏覽器等產品中有廣泛應用。通過ActiveX控件可以與微軟的MSHTML組件進行交互,從而引起安全問題。 Windows作為全球安裝用戶量最大的操作系統,使用範圍遍及世界各地,涉及用戶量多,導致該漏洞的危害等級較高。


目前受影響的版本:


Windows 7 for 32/x64-based Systems Service Pack 1
Windows RT 8.1
Windows 8.1/10 for 32/x64-based Systems
Windows 10 Version 1607 for 32/x64-based Systems
Windows 10 Version 2004/1809/1909/20H2/21H1 for 32/x64/ARM64-based Systems
Windows Server 2012/2012 R2/2016/2022
Windows Server 2008 R2 for x64-based Systems Service Pack 1/2
Windows Server 2004/2012/2012 R2/2016/2019/20H2/2022 (Server Core installation)

解決方案 

1.臨時修復建議

當前官方已發布臨時修復方案


     1. 創建一個.reg類型的文件,並寫入如下內容:


Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003


    2. 保存並雙擊該文件。


    3. 重啟操作系統


2.深信服解決方案

【深信服下一代防火牆AF】可防禦此漏洞,建議用戶將深信服下一代防火牆開啟 IPS 防護策略,並更新最新安全防護規則,即可輕鬆抵禦此高危風險。


【深信服安全感知管理平台CC】結合雲端實時熱點高危/緊急漏洞信息,可快速檢出業務場景下的該漏洞,並可聯動【深信服下一代防火牆等產品】實現對攻擊者IP的封堵。


時間軸

2021/9/8    深信服監測到Microsoft MSHTML遠程代碼執行漏洞攻擊信息。


2021/9/8    深信服千里目安全實驗室發布漏洞通告和解決方案。


2021/9/9    深信服千里目安全實驗室發布二次通告和解決方案。


參考鏈接

HTTPS://面色如常.Microsoft.com/update-貴的/vulnerability/C VE-2021-40444