CVE 的覆盖范围-2021-40444-MSHTML 远程代码执行
技术文章 ID:
KB94876
上次修改时间: 2023-01-04 12:41:49 Etc/GMT
上次修改时间: 2023-01-04 12:41:49 Etc/GMT
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
了解不断适应的 XDR 生态系统如何为您的企业赋能。
Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。
下载 Magic Quadrant 报告,该报告根据执行能力和愿景完成情况,对 19 家供应商进行了评估。
Gartner 报告称,“XDR 是一种新兴技术,可以提供增强的威胁防护、检测和响应。”
企业在 2022 年应警惕哪些网络安全威胁?
网络安全行业绝不是一潭死水,而是危机不断,现在便是接受这一全新安全防护理念,将其转化为自身优势,为企业赋能的最佳时机。
网络安全领域备受信赖的两大领导者携手打造弹性化的数字世界。
Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
CVE 的覆盖范围-2021-40444-MSHTML 远程代码执行
技术文章 ID:
KB94876
上次修改时间: 2023-01-04 12:41:49 Etc/GMT 环境
Microsoft Windows 操作系统
摘要
本文的最近更新
要在更新本文时收到电子邮件通知,请单击 订阅 位于页面右侧。您必须登录后才能订购。
我们正在调查零天漏洞利用,针对来自 MSHTML、CVE-2021-40444 的远程代码执行。Microsoft已报告此利用漏洞攻击在针对目标的攻击中的使用。 利用该漏洞的方法很多。 在一个场景下,攻击者必须破坏用户,以下载并打开利用网络内 ActiveX 控件的恶意 Office Internet Explorer。 默认情况下,Microsoft Office 在 受保护的视图 或 Application Guard 中打开 internet 中的 Word、Excel 和 PowerPoint。 这两种缓解措施都阻止了漏洞利用。 最近的测试显示,预览模式是用户交互的解决方法,其通常就是成功利用漏洞所必须的解决方法。 例如,如果攻击者创建富文本格式 (RTF) 文件并启用了 预览模式 ,则可能会触发错误,而且不会打开文件。 在此禁用"预览Windows Explorer模式Microsoft Office可以有效。 尽管当前的漏洞利用围绕Microsoft Office Word RTF 文件,但任何 Office 文档都可能会触发该漏洞。 如果 受保护的视图 和 Application Guard 不受 Word、Excel 或 PowerPoint 支持,唯一有效的缓解是彻底禁用 ActiveX Windows。 有关缓解和解决方法,请参阅 Microsoft 安全/Security 更新手册(CVE-2021-40444)。 原因
CVE-2021-40444 依靠恶意精心设计的 Microsoft Office 文档,针对 ActiveX 控件,意图通过 MSHTML 故意调用远程代码执行。 虽然用户交互是必需的,但是对攻击详细信息的感知可帮助管理员识别自己环境中的攻击。
以下指示性漏洞(IOCs)已确定为可能与通配符攻击相关联。列出的所有已知 IOCs 均已针对最新 作为最佳实践,请使用最少的刷新时间间隔配置存储库更新任务。 这种做法可确保在我们发布新内容时将其应用。
Trellix Global Threat Intelligence (GTI)也已分类了与 IOCs 相关联的网络流量。 SHA256: 类别:网络钓鱼 分类:高风险 hxxp://dodefoh[.]com hxxp://23.106.160[.]25 类别: Pup (可能有害的程序) 分类:中等风险 解决方案
我们建议对入门级威胁实施一般对策。有关详细信息,请参阅:KB91836 - 条目媒介威胁对策。在本文中概述的建议步骤中,部分成功 ENS 漏洞利用防护签名 "2844: Microsoft Word WordPerfect5 转换器模块缓冲区溢出漏洞" 已知的 IOCs,尽管此规则被视为非常主动,可能会导致误报。因此,在将建议应用到生产系统之前,应彻底进行测试。
管理员和分析师可以使用以下 已创建以下 ENS 漏洞利用防护专家规则 ,以提供对此威胁的其他覆盖范围。此规则已更新,以最大限度减少误报。 但是,您应当彻底测试该规则,然后再应用至生产系统。 您可以将建议的规则设置为仅报告模式,以进行测试,以检查其是否会造成您的环境中的任何冲突,并监控目标行为而不阻止。 确定规则不阻止来自合法应用程序的任何活动后,您可以将规则设置为阻止,将设置应用到相关系统。 注意:所引用的内容仅可供已登录的 ServicePortal 用户使用。 要查看内容,请单击该链接并在出现提示时登录。 高 - HTTP: Microsoft MSHTML 远程代码执行漏洞 (CVE-2021-40444) (0x45299800):利用漏洞: 此警报指示有人试图利用文档中的远程代码Microsoft Office漏洞。 此警报要求HTTP响应功能。 如果禁用了"响应"HTTP,则系统将不会检测到此攻击。 当前正在评估进一步覆盖的机会。 相关信息免责声明本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
受影响的产品 |
|