CVE-2021-40444：Windows MSHTML 0day漏洞利用

研究人员发现Windows MSHTML 0day漏洞利用，微软发布预防措施。

近日，多个安全研究人员向微软分别报告了MSHTML中的一个0 day远程代码执行漏洞。并发现了该漏洞的在野利用攻击活动。

MSHTML是Windows中用来渲染web页面的软件组件。虽然主要与IE相关，但也用于其他版本，包括Skype、Outlook、Visual Studio等。

CVE-2021-40444

研究人员在MSHTML中发现的0 day漏洞CVE编号为CVE-2021-40444，cvss评分为8.8分。由于MSHTML 是IE的核心之一，该漏洞也存在于IE浏览器中。攻击依赖于受害者打开一个恶意office文件时，MSHTML加载一个精心伪造的ActiveX控件。加载的ActiveX 控件可以运行任意代码来感染系统。所以攻击者需要诱使受害者打开恶意文档。由于没有发布补丁，关于漏洞的更多技术细节尚未公开。

修复措施

目前，所有支持的Windows版本都受到该漏洞的影响，而且微软发现有利于该漏洞的在野攻击，但目前还没有补丁，因此微软提出多种方法来拦截相关的攻击活动。

◼通过注册表禁用所有ActiveX 控件的安装。之前安装的ActiveX 控件仍然可以运行，但是不会再新增控件。禁用ActiveX 控件的方式如下，复制一下内容到文本文件中，并保存为.reg文件扩展：

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003

▪双击.reg文件并应用到策略库中；

▪重启系统来确保新配置生效。

◼从IE保护视图或office应用保护功能打开文档，这两种方式都是默认设置，且都可以预防该攻击，但默认设置可能被修改了。