Η Microsoft κοινοποιήσε σήμερα τον μετριασμό μιας ευπάθειας εκτέλεσης απομακρυσμένου κώδικα στα Windows που χρησιμοποιείται σε στοχευμένες επιθέσεις κατά του Office 365 και του Office 2019 στα Windows 10.
Το ελάττωμα βρίσκεται στο MSHTML, τη μηχανή απόδοσης του προγράμματος περιήγησης που χρησιμοποιείται και από έγγραφα του Microsoft Office.
Συνεχείς επιθέσεις κατά του Office 365
Το ζήτημα ασφαλείας (CVE-2021-40444) επηρεάζει τον Windows Server 2008 έως το 2019 και τα Windows 8.1 έως 10 και έχει επίπεδο σοβαρότητας 8,8 από το μέγιστο 10.
Η Microsoft είναι ενήμερη για στοχευμένες επιθέσεις που προσπαθούν να εκμεταλλευτούν την ευπάθεια αποστέλλοντας ειδικά δημιουργημένα έγγραφα του Microsoft Office σε πιθανά θύματα, αναφέρει η εταιρεία σε ένα advisory που κυκλοφόρησε.
Ωστόσο, η επίθεση ματαιώνεται εάν το Microsoft Office εκτελείται με την προεπιλεγμένη διαμόρφωση, όπου ανοίγουν έγγραφα από τον ιστό σε λειτουργία Protected View ή Application Guard για το Office 365.
Το Protected View είναι μια λειτουργία μόνο για ανάγνωση που έχει απενεργοποιήσει τις περισσότερες λειτουργίες επεξεργασίας, ενώ το Application Guard απομονώνει μη αξιόπιστα έγγραφα, απαγορεύοντας την πρόσβαση σε εταιρικούς πόρους, στο intranet ή σε άλλα αρχεία του συστήματος.
Τα συστήματα με ενεργά τα Microsoft Defender Antivirus και Defender for Endpoint (έκδοση 1.349.22.0 και άνω) επωφελούνται από την προστασία από προσπάθειες για exploit του CVE-2021-40444.
Η εταιρική πλατφόρμα ασφάλειας της Microsoft θα εμφανίζει ειδοποιήσεις σχετικά με αυτήν την επίθεση ως “Suspicious Cpl File Execution”.
Ερευνητές από πολλαπλές εταιρείες κυβερνοασφάλειας πιστώνονται την εύρεση και την αναφορά της ευπάθειας: Haifei Li της EXPMON, Dhanesh Kizhakkinan, Bryce Abdo και Genwei Jiang – και οι τρεις του Microsoft Security Intelligence.
Σε ένα tweet σήμερα, η EXPMON (exploit monitor) λέει ότι βρήκαν την ευπάθεια μετά τον εντοπισμό μιας «εξαιρετικά εξελιγμένης επίθεσης zero-day» που απευθυνόταν στους χρήστες του Microsoft Office.
Οι ερευνητές της EXPMON αναπαρήγαγαν την επίθεση στο πιο πρόσφατο Office 2019/Office 365 στα Windows 10.
Λύση για τις επιθέσεις zero-day CVE-2021-40444
Καθώς δεν υπάρχει διαθέσιμη ενημέρωση ασφαλείας αυτήν τη στιγμή, η Microsoft παρείχε τον ακόλουθο τρόπο αντιμετώπισης – απενεργοποιήστε την εγκατάσταση όλων των στοιχείων ελέγχου ActiveX στον Internet Explorer.
Μια ενημέρωση μητρώου των Windows διασφαλίζει ότι το ActiveX καθίσταται ανενεργό για όλους τους ιστότοπους, ενώ τα ήδη διαθέσιμα στοιχεία ελέγχου ActiveX θα συνεχίσουν να λειτουργούν.
Οι χρήστες πρέπει να αποθηκεύσουν το παρακάτω αρχείο με την επέκταση .REG και να το εκτελέσουν για να το εφαρμόσουν στo “Policy hive”. Μετά την επανεκκίνηση του συστήματος, θα πρέπει να εφαρμοστεί το νέο configuration.
Καθώς οι ενημερώσεις δεν είναι ακόμη διαθέσιμες για το CVE-2021-40444, κυκλοφόρησαν την ακόλουθη λύση που εμποδίζει τα στοιχεία ελέγχου ActiveX να εκτελούνται στον Internet Explorer και εφαρμογές που ενσωματώνουν το πρόγραμμα περιήγησης.
Για να απενεργοποιήσετε τα στοιχεία ελέγχου ActiveX, ακολουθήστε τα εξής βήματα:
1.Ανοίξτε το Notepad και επικολλήστε το ακόλουθο κείμενο σε ένα αρχείο κειμένου. Στη συνέχεια, αποθηκεύστε το αρχείο ως disable-activex.reg. Βεβαιωθείτε ότι έχετε ενεργοποιήσει την εμφάνιση των επεκτάσεων αρχείου για τη σωστή δημιουργία του Registry file.
2.Βρείτε το πρόσφατα δημιουργημένο disable-activex.reg και κάντε διπλό κλικ σε αυτό. Όταν εμφανίζεται ένα prompt UAC, κάντε κλικ στο κουμπί Yes για να εισάγετε τα Registry entries.
3.Επανεκκινήστε τον υπολογιστή σας για να εφαρμόσετε το νέο configuration.
Μόλις κάνετε επανεκκίνηση του υπολογιστή σας, τα στοιχεία ελέγχου ActiveX θα απενεργοποιηθούν στον Internet Explorer.
Όταν η Microsoft κυκλοφορήσει μια επίσημη ενημέρωση ασφαλείας για αυτήν την ευπάθεια, μπορείτε να καταργήσετε αυτήν την προσωρινή επιδιόρθωση Registry διαγράφοντας με μη αυτόματο τρόπο τα δημιουργημένα Registry keys.
