Microsoft xác nhận vào ngày 7 tháng 9 năm 2021 rằng lỗ hổng thực thi mã từ xa (RCE) đã xảy ra trong Windows 10. Lỗ hổng này, được phân loại là CVE-2021-40444 [1], có thể cho phép tội phạm mạng chiếm quyền điều khiển từ xa một hệ thống bị xâm phạm và tạo ra các cuộc tấn công zero-day trong thực tế.
Lỗi nằm ở MSHTML, một công cụ kết xuất trình duyệt trong Internet Explorer. Công cụ này cũng được sử dụng trong các tài liệu Microsoft Office. CVE-2021-40444 hiện được biết là được sử dụng để phân phối các tải trọng Cobalt Strike—một khuôn khổ mô phỏng mối đe dọa thường bị khai thác.
Một nhà nghiên cứu tại EXPMON đã xác định được lỗ hổng zero-day này lần đầu tiên trong một dòng tweet , nói rằng "Người dùng Office phải cực kỳ thận trọng với các tệp Office". Họ đã báo cáo sự cố này cho Microsoft vào Chủ Nhật, ngày 5 tháng 9. Microsoft cũng đã phát hành một Cố vấn bảo mật ngay sau đó, đề xuất các giải pháp thay thế trong khi công ty điều tra. Vào ngày 14 tháng 9, Microsoft đã khắc phục lỗ hổng này [2].
Kẻ tấn công khai thác CVE-2021-40444 như thế nào
Tội phạm mạng có thể tạo ra một điều khiển ActiveX độc hại bên trong tài liệu Microsoft Office (.docx). Tài liệu này hoạt động như máy chủ cho công cụ kết xuất trình duyệt MSTHML và OLEObject dẫn đến một trang web được xây dựng.
Kẻ tấn công sau đó sẽ phải lừa mục tiêu mở tài liệu này. Khi mở, công cụ MSTHML sẽ sử dụng điều khiển ActiveX để chạy tệp HTML với các tập lệnh được che giấu, sau đó tải xuống các mã độc hoặc điều khiển truy cập từ xa.
Microsoft lưu ý rằng người dùng có quyền quản trị viên dễ bị tấn công hơn những người không có hoặc có ít quyền người dùng.
Giảm thiểu và giải pháp thay thế
Microsoft khuyên rằng việc vô hiệu hóa tất cả các cài đặt điều khiển ActiveX trong Internet Explorer có thể giúp giảm thiểu các cuộc tấn công hiện tại. Điều này có thể được thực hiện bằng cách cấu hình Chính sách nhóm bằng cách cập nhật sổ đăng ký bằng cách sử dụng Trình chỉnh sửa chính sách nhóm cục bộ. Sau khi vô hiệu hóa, các điều khiển ActiveX mới sẽ không được cài đặt và các điều khiển ActiveX trước đó sẽ tiếp tục chạy.
Làm sao Deep CDR Có thể bảo vệ chống lại các cuộc tấn công Zero-Day
Giải trừ và Tái thiết Nội dung (CDR) có thể hỗ trợ giảm thiểu rủi ro liên quan đến lỗ hổng này. Deep CDR giả định tất cả các tệp đều độc hại, sau đó làm sạch và xây dựng lại các thành phần tệp để đảm bảo khả năng sử dụng đầy đủ với nội dung an toàn. Công nghệ này có thể 'giải trừ' hiệu quả tất cả các mối đe dọa dựa trên tệp, các mối đe dọa phức tạp và nhận biết môi trường giả lập, và các mối đe dọa được trang bị công nghệ trốn tránh mã độc như mã độc hoàn toàn không thể phát hiện hoặc che giấu.
Trong trường hợp này, Deep CDR công nghệ loại bỏ tất cả các đối tượng đe dọa tiềm ẩn như OLEObject và ActiveX khỏi tệp tài liệu. Sau khi làm sạch, tài liệu không còn chứa liên kết HTML độc hại.
Các mối đe dọa được MetaDefender Cloud phát hiện đã được quét và kết quả hỗ trợ các hành động vệ sinh:
Sau khi làm sạch , kết quả cho thấy OLEObject đã bị xóa và tệp có thể mở an toàn:
Về Deep CDR
Công nghệ Deep CDR là công nghệ dẫn đầu thị trường với các tính năng vượt trội như xử lý lưu trữ đa cấp, độ chính xác của việc tái tạo tệp và hỗ trợ hơn 100 loại tệp. Công nghệ của chúng tôi cung cấp chế độ xem chuyên sâu về những gì đang được làm sạch và cách dữ liệu được làm sạch, cho phép bạn đưa ra lựa chọn sáng suốt và xác định cấu hình để đáp ứng các trường hợp sử dụng của mình. Kết quả? Các tệp an toàn với 100% các mối đe dọa được loại bỏ trong vòng mili giây, do đó quy trình làm việc của bạn không bị gián đoạn.
Để tìm hiểu thêm về Deep CDR và làm thế nào OPSWAT có thể bảo vệ tổ chức của bạn , hãy nói chuyện với một trong những chuyên gia an ninh mạng cơ sở hạ tầng trọng yếu của chúng tôi .
Tham khảo
[1] “Lỗ hổng thực thi mã từ xa MSHTML của Microsoft”. 2021. Trung tâm phản hồi bảo mật của Microsoft. https://msrc.microsoft.com/upd...
[2] “Các bản vá của Microsoft đã tích cực khai thác RCE ngày thứ 0 của MSHTML (CVE-2021-40444)”. Ngày 14 tháng 9 năm 2021. Help Net Security. https://www.helpnetsecurity.co...
