Microsoft は火曜日、特別に作成された Microsoft Office ドキュメントを使用することによって Microsoft Windows に影響を与える MSHTML のリモート コード実行の脆弱性を特定するセキュリティ アドバイザリを発行しました。
CVE-2021-40444 (CVSS スコア: 8.8) として追跡されているこのリモート コード実行の脆弱性は、Microsoft Windows バージョンの Internet Explorer 用の独自のブラウザ エンジンである MSHTML (別名 Trident) に埋め込まれており、Windows Server 2008 ~ 2019 および Windows に影響します。 8.1から10まで。
「攻撃者は、ブラウザ レンダリング エンジンをホストする Microsoft Office ドキュメントで使用される悪意のある ActiveX コントロールを作成する可能性があります。その場合、攻撃者はユーザーに悪意のあるドキュメントを開かせる必要があります」と同社は述べています。言ったセキュリティ勧告で。
「システム上でアカウントのユーザー権限が少なく設定されているユーザーは、管理ユーザー権限で操作しているユーザーよりも影響が少ない可能性があります。」
同社によれば、Microsoft Defender ウイルス対策と Microsoft Defender for Endpoint は両方とも、既知の脆弱性の検出と保護を提供します。同社は顧客に対し、マルウェア対策製品を常に最新の状態に保つようアドバイスしており、自動更新を利用している顧客には追加の措置を講じる必要はない。
更新を管理する企業のお客様は、検出ビルド 1.349.22.0 以降を選択し、環境全体に展開する必要があります。 Microsoft Defender for Endpoint のアラートは、「不審な CPL ファイルの実行」として表示されます。
Microsoftは、調査が完了次第、顧客を保護するために適切な措置を講じると述べた。これには、顧客のニーズに応じて、毎月のリリースプロセスを通じてセキュリティ更新プログラムを提供したり、周期外のセキュリティ更新プログラムを提供したりすることが含まれる可能性がある。
レドモンドの巨人は、この脆弱性を発見した功績として、Microsoft Threat Intelligence Center (MSTIC) の Rick Cole、Mandiant の Dhanesh Kizhakkinan、Bryce Abdo、Genwei Jiang、および EXPMON の Haifei Li の功績を認めました。
Mandiant社の脅威アナリストであるAndrew Thompson氏は次のように述べています。注目した「エクスプロイト後の動作に焦点を当てた堅牢な検出は、ゼロデイエクスプロイトを含む侵入を検出できるセーフティ ネットです。」
エクスプモン言ったMicrosoft Officeユーザーを狙った「高度なゼロデイ攻撃」を検出したとツイートした。
「最新の Office 2019/Office 365 に対する攻撃を Windows 10 (一般的なユーザー環境) 上で再現しました。影響を受けるすべてのバージョンについては、Microsoft セキュリティ アドバイザリをお読みください。このエクスプロイトは論理的な欠陥を利用しているため、エクスプロイトは完全に信頼性があり(そして危険です)」と同社はツイートした。
一方、Microsoft は、攻撃の性質、そのターゲット、このゼロデイ脆弱性を悪用する攻撃者に関する情報を一般に公開していません。
軽減策と回避策に関して、Microsoft は Internet Explorer でのすべての ActiveX コントロールのインストールを無効にすることを提案しました。これは、レジストリを更新することですべてのサイトで実現できます。
「以前にインストールされた ActiveX コントロールは引き続き実行されますが、この脆弱性が露呈することはありません」と勧告には記載されています。
「レジストリ エディタを誤って使用すると、オペレーティング システムの再インストールが必要になるような重大な問題が発生する可能性があります。 Microsoft は、レジストリ エディターの誤った使用に起因する問題を解決できることを保証できません。」
個々のシステムで ActiveX コントロールを無効にするには:
- すべてのゾーンの Internet Explorer で ActiveX コントロールのインストールを無効にするには、次の内容をテキスト ファイルに貼り付け、ファイル拡張子 .reg を付けて保存します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
「1001」=dword:00000003
「1004」=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
「1001」=dword:00000003
「1004」=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
「1001」=dword:00000003
「1004」=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
「1001」=dword:00000003
「1004」=dword:00000003
2. .reg ファイルをダブルクリックして、ポリシー ハイブに適用します。
3. システムを再起動して、新しい構成が適用されていることを確認します。
この回避策は、64 ビットおよび 32 ビット プロセスのすべてのインターネット ゾーンで URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) および URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) を DISABLED (3) に設定します。
新しい ActiveX コントロールはインストールされず、以前にインストールされた ActiveX コントロールは引き続き実行されます。
![2024 年のゲーム向けベスト DNS サーバー 11 選 [最速]](https://soud.one/tech/hiroyuki/wp-content/uploads/2018/12/dnsserversforgamingcover.jpg)
