‼️ کشف آسیب پذیری روز صفر در MSHTML به هکر این امکان را میدهد تا با یک فایل Word و بدون استفاده از Macro سیستم قربانی را آلوده کند !
▪️ آسیب پذیری جدید CVE-2021-40444 با امتیاز 8.8 یک حفره امنیتی از نوع اجرای کد از راه دور میباشد که از نقصی در MSHTML بهره میگیرد.
▪️ سرویس MSHTML یک Browser engine اختصاصی است که از آن جهت نمایش محتوای وب درون اسناد Office استفاده میشود. هکر با ارسال یک فایل Word، پنجرهای در مرورگر مقصد باز میکند و با کنترل مرورگر آسیب پذیر، به راحتی سیستم قربانی را آلوده کرده و حملات خود را انجام دهد.
▪️ نمونه اولیه این حمله در حال حاضر توسط 37 نوع آنتی ویروس شناسائی میشود اما برخی از اجزای این حملات تا این لحظه تنها توسط 11 نوع آنتی ویروس قابل شناسائی است.
دانلود ویدئوی شبیه سازی حمله CVE-2021-40444 - هک سیستم تنها با یک فایل WORD :
KAMIRAN_CVE-2021-40444.zip
▪️ مایکروسافت برای جلوگیری از این آسیب پذیری، راهکار موقت غیر فعال کردن Download ActiveX controls را از طریق Group Policy یا Registry ارائه کرده است تا پچ آن منتشر شود :
‼️ چگونه برای جلوگیری از حملات مشابه CVE-2021-40444 گزینه Download ActiveX را بدون Group Policy و با استفاده از کنسول آنتی ویروس یا Bat فایل غیر فعال کنیم ؟
▪️ فایل ZIP زیر حاوی فرامینی است که میتوانید به وسیله آن دو گزینه زیر در تنظیمات Internet Option در زون های InternetZone, IntranetZone, LocalMachineZone,TrustedSites را روی حالت Disable ست نمائید :
▪️ Download signed ActiveX controls
▪️ Download unsigned ActiveX controls
🔗 دانلود فایل BAT برای غیر فعال کردن Download ActiveX :
Disable_Download_Activex.zip
▪️ مدیران شبکه گرامی که کنسول ESET Protect نسخه Advanced دارند میتوانند فرامین داخل این BAT را توسط تسک RunCommand بر روی کلیه سیستم های خود اعمال نمایند ( راهنمای تسک Run Command از سایت ESET ) . مشترکین کنسول ESET Protect Cloud هم به صورت خودکار این تنظیمات مایکروسافت را دریافت میکنند. مشترکین کسپرسکی هم با تسک Install Application میتوانند این BAT را در کنسول خود اعمال نمایند.
*** مشترکین ESET که از کنسول ESMC نسخه 7 استفاده میکنند بخش RunCommand تک خطی دارند که همان خط اول فایل فوق، هر 8 فرمان مورد نیاز را در یک خط اجرا میکند که با هفت علامت & از هم جدا شده اند.
‼️ چرا باید توصیه های مایکروسافت را در شبکه اعمال کنیم ؟
▪️ در این لحظه هنوز وصله ای برای آسیب پذیری CVE-2021-40444 ارائه نشده است و در صورت ارائه هم ویندوزهای 7 به دلیل عدم داشتن ESU نمیتوانند پچ های جدید سال 2021 را دریافت کنند. با اینکه نمونه های فعلی توسط اکثر آنتی ویروس ها شناسائی میشود اما اصول امنیتی حکم میکند آسیب پذیری های روز صفر در شبکه وصله شود.
🔗 اطلاعات بیشتر در سایت مایکروسافت:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
▪️ برای اطلاع از اخبار امنیتی حتما در کانال تلگرام @KamiranChannel عضو شوید و یا برای دریافت اخبار مهم از طریق واتساپ عدد 11 را به شماره 09302700800 واتساپ نمائید.
▪️ در صورت وجود هر گونه سوال در این خصوص با مرکز پشتیبانی کامیران با شماره 02147251 ، تلگرام @KamiranSupport یا واتساپ 09332050007 ارتباط برقرار نمائید.
با تشكر
لابراتوآر ویروس شناسی شركت مهندسي كاميران
__________________________________________