Microsoft sa att det har identifierat ett begränsat antal attacker som riktar sig mot en sårbarhet för fjärrkörning av kod i MSHTML som påverkar Microsoft Windows.
CISA släppte sitt eget meddelande där man uppmanade “användare och organisationer att granska Microsofts begränsningar och lösningar för att ta itu med CVE-2021-40444, en sårbarhet för fjärrkörning av kod i Microsoft Windows.”
Microsoft sa att sårbarheten först upptäcktes av Rick Cole från Microsoft Security Response Center, Haifei Li från EXPMON samt Dhanesh Kizhakkinan, Bryce Abdo och Genwei Jiang från Mandiant.
“Microsoft är medvetet om riktade attacker som försöker utnyttja denna sårbarhet med hjälp av specialtillverkade Microsoft Office-dokument. En angripare kan skapa en skadlig ActiveX-kontroll som ska användas av ett Microsoft Office-dokument som är värd för webbläsarens återgivningsmotor”, förklarade Microsoft.
“Angriparen måste då övertyga användaren att öppna det skadliga dokumentet. Användare vars konton är konfigurerade för att ha färre användarrättigheter på systemet kan påverkas mindre än användare som arbetar med administrativa användarrättigheter.”
Microsoft -versionen noterar att deras Defender Antivirus och Defender for Endpoint skyddar mot sårbarheten. Alla som har verktygen och använder automatiska uppdateringar är säkra från sårbarheten, medan de noterade att företagskunder som hanterar uppdateringar “bör välja detekteringsversionen 1.349.22.0 eller senare och distribuera den i sina miljöer.”
Varningarna i Microsoft Defender kommer att visas som “Suspicious Cpl File Execution.”
Microsoft sa att när undersökningen är klar kommer de att skicka ut en säkerhetsuppdatering i ett Patch Tuesday -release eller i en separat out-of-cycle säkerhetsuppdatering.
Utgåvan tillägger att Microsoft Office som standard öppnar dokument från internet i Protected View eller Application Guard for Office, som båda förhindrar den aktuella attacken.
När det gäller begränsningar och lösningar föreslog Microsoft att inaktivera installationen av alla ActiveX -kontroller i Internet Explorer.
“Detta kan uppnås för alla webbplatser genom att uppdatera registret. Tidigare installerade ActiveX-kontroller kommer att fortsätta att köras, men avslöja inte denna sårbarhet”, heter det i utgåvan. “Om du använder registerredigeraren felaktigt kan du orsaka allvarliga problem som kan kräva att du installerar om ditt operativsystem. Microsoft kan inte garantera att du kan lösa problem som uppstår vid felaktig användning av registerredigeraren.”
Meddelandet innehåller också specifika instruktioner om hur du inaktiverar ActiveX -kontroller på ett enskilt system.
Mandiant hotanalytiker Andrew Thompson noterade att “robusta detektioner med fokus på beteende efter exploatering är ett skyddsnät som gör att du kan upptäcka intrång som innebär nolldagsexploatering.”
Säkerhet
T -Mobilhack: Allt du behöver veta Surfshark VPN -recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN -tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Ransomware -hotet växer: Vad måste hända för att stoppa attacker att bli värre? (ZDNet YouTube)
Relaterade ämnen:
Enterprise Enterprise Software Windows 10 Collaboration Cloud 