奧義資安快訊：CVE-2021–40444

‍

2021年 9 月 7 號，微軟安全回應中心 (Microsoft Security Response Center, MSRC) 公布了編號為 CVE-2021-40444 的一個重大漏洞，這是 Microsoft MSHTML 元件的遠端程式碼執行 (Remote Code Execution, RCE) 漏洞。此漏洞由 Microsoft、Mandiant 與 EXPMON 等資安公司的人員所發現，並在滿分為 10 分的通用漏洞評分系統 (Common Vulnerability Scoring System, CVSS) 中，得到了高達 8.8 的評分，其危害程度不容小覷。

CVE-2021–40444 漏洞的影響範圍廣泛，包含了 Windows 7~10 與 Windows 2008~2019 等在內的目前所有 Windows 版本皆會受到影響，因此，我們強烈建議所有 Windows 使用者都應提高警覺。這項嚴重的 RCE 漏洞由 MSHTML 元件所導致，使得惡意攻擊者可以遠端植入並且執行惡意程式碼。

‍

既然新聞說是 IE 漏洞，那麼沒用 IE 的使用者可以安心嗎？

奧義持續關注海內外資安最新消息，並於第一時間便已向客戶發布 CVE-2021–40444 相關的消息，關於此漏洞許多人常和我們提出的疑問便是，新聞上寫到 CVE-2021–40444 漏洞時常將其歸類為 IE 漏洞，那麼若是未使用 IE 的使用者，是否仍然會被此漏洞影響到呢？而答案顯然是肯定的。

CVE-2021–40444 漏洞是由 MSHTML 元件所導致，也就是為何新聞稱其為 IE 漏洞。然而，對 Windows 來說 IE 只是一個外殼 Application，真正出現漏洞的是 IE 所使用的核心 MSHTML 系列元件，它是內建在 Windows 系統中一個非常重要的元件，甚至 Windows 的控制台實作上也利用到了該元件。

此外，許多程式都有應用到這項 MSHTML 元件，因此它無法被移除、也無法停用，舉例來說，這次的惡意攻擊文件便是透過控制台來觸發的。所以，從結論而言，無論使用者平時是否有使用 IE 瀏覽器，都無法擺脫 MSHTML 元件的影響，並且仍在此漏洞威脅可能波及到的範圍之內。

‍

‍

駭客組織已開始利用此漏洞，使用者應如何自保？

根據微軟 MSRC 的公告指出，目前已發現有駭客團體利用 CVE-2021–40444 漏洞進行針對性的攻擊，藉由製作偽造的 Office 文件並透過設定 ActiveX 控制惡意文件，即可在不需要 Office 巨集下執行遠端駭客程式，並進一步奪取受駭電腦的控制權。

而針對 CVE-2021–40444 漏洞，微軟官方尚未發布相關的修補程式，僅表示使用者可修改 Internet Explorer 瀏覽器的設定，依循官方公告中的方法停用 ActiveX 元件的安裝，藉此來暫時緩解此漏洞所衍生的攻擊威脅。

透過即時監控與雲端 AI 分析，奧義智慧 MDR 已經可偵測到利用 CVE-2021-40444 漏洞所發動的攻擊，在攻擊發生的時候第一時間向客戶發出緊急告警，並且提供企業資安應變小組具體可行的緩解方案，快速且有效地獵捕可疑威脅、避免損害範圍擴大。後續奧義資安團隊也將持續追蹤、監控此漏洞的相關情報，協助客戶建立強韌可信賴的資安中場防線。

‍

參考資料

1. ‍https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444‍
2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40444‍
3. https://www.blumira.com/cve-2021-40444/