CVE-2021-40444

Microsoft CVE-2021-40444漏洞的替補方案及防護建議

附CVE-2021-40444解決方法

日前Microsoft罕有地公佈了一項仍未堵塞的零時差安全漏洞(CVE-2021-40444),能夠讓攻擊者在受害者裝置上遙距執行惡意代碼,而且已經有網絡犯罪份子用來攻擊Microsoft Office用戶,Microsoft建議網絡管理員在有補丁推出前,先採取替補方案防範。

攻擊者如何利用CVE-2021-40444

攻擊者會以入嵌惡意ActiveX控制的Microsoft Office文件作為武器,該控制會啟動和執行代碼,而這些文件通常透過電郵散播,一如其他網絡釣魚一樣,攻擊者極力遊說受害者打開檔案。

利用Microsoft Office文件向來也是熱門的攻擊手法,理論上,來自網絡的Microsoft Office會受到Protected View或經由Application Guard for Office去保護,任何一種都能預防CVE-2021-40444,然而很多用戶都習慣性地點擊Enable Editing功能,如此一來便破壞了Microsoft自身的保安機制。

Microsoft Office 弓小預設Protected View

未有補丁,只有(官方)替補方案!

CVE-2021-40444是Internet Explorer引擎上的一個MSHTML漏洞,雖然IE現時用戶雖少,但有其他程式會使用到有關的引擎去處理網上內容,例如Word和PowerPoint!即使Microsoft採取的態度顯示對事件相當關注,但補丁似乎不會在本月的例行重大更新中出現,而在正式的補丁面世前, Microsoft交出了替補方案,建議網絡管理員關閉ActiveX功能,方法可以瀏覽這裡

民間建議解決方法:同時關閉Windows Explorer文件預覽

官方建議關閉ActiveX之後,有第三方研究人員認為,攻擊者能就著ActiveX關閉而進行「反替補方案」,利用Windows Explorer的預覽功能也能利用到有關的安全漏洞作惡,因此有研究人員建議同時關閉有關的預覽功能,方法請參考這裡,由於方法非官方建議,選擇遵從前請先留意可能做成的影響。

主動防護類似攻擊的建議

資料來源:Kaspersky Blog