此 Windows 漏洞可以劫持您的 PC,但目前尚无修复方法 — 现在该怎么做

本周早些时候,微软警告了一种新的零日漏洞,攻击者可以利用该漏洞利用诱杀的 Office 365 文件劫持任何和所有 Windows PC。

针对此漏洞的 Microsoft 安全公告(编为 CVE-2021-40444)表示,用户在打开从 Internet 下载的文件时应注意 Word、Excel 或 PowerPoint 显示的受保护视图警告,并且不要单击“启用编辑”按钮在这样的文件上。

Zelle 诈骗者骗取数千名银行客户——如何避免他们最好的 Windows 10 防病毒软件加: Framework 笔记本电脑是未来——这就是我购买一台的原因

但问题实际上比这严重得多,而且更难防御。 甚至不需要 Office 即可使用此漏洞。 正如 CERT/CC 漏洞分析师 Will Dormann 昨天(9 月 9 日)在 Twitter 上展示的那样,只需在文件资源管理器中预览诱杀的富文本格式 (RTF) 就足以触发漏洞利用。

查看更多

此漏洞的实际攻击机制尚未公开披露,但一些安全研究人员已经复制了该漏洞,该漏洞也被积极用于攻击似乎主要是美国的目标。

微软可能会在下周二的每月更新中修补这个漏洞,但在那之前我们不能确定。 Windows 7、8.1、10 和 11 与所有版本的 Microsoft Office 一样容易受到攻击。

目前,家庭 Windows 用户可以通过在 Office 中禁用过时的 Microsoft 编程框架 ActiveX(我们将在下面向您展示如何)并运行最好的防病毒程序之一来最大程度地减少遭受这种攻击的风险。

采取这些步骤将保护 Office 并阻止已知的恶意文件,但攻击者可以轻松创建新的恶意文件或使用非 Office 文件。 在微软修补这个之前,你只会玩打地鼠。

保护自己免受这些攻击的唯一可靠方法(至少在 9 月 14 日之前)是完全禁用 Windows 注册表中的 ActiveX,该注册表是管理每个 Windows 系统的“主文档”。 这是一个冒险的举动,除非您真正知道自己在做什么,但我们也会向您展示如何做到这一点。

如何在 Office 365/Microsoft Office 中禁用 ActiveX

这将禁用在 Word、Excel、PowerPoint 或其他 Office 应用程序中查看基于 Web 的内容的功能。

打开 Word 文档、Excel 电子表格或 PowerPoint 演示文稿。单击左上角的文件以显示左侧导航栏。一直向下滚动并单击选项。单击弹出窗口左侧导航栏中的信任中心。单击右侧窗口中的信任中心设置按钮。在左侧导航栏中选择 ActiveX 设置。在右侧窗口中选择“禁用所有控件而不通知”。

如何在 Windows 中完全禁用 ActiveX

警告: 这涉及编辑 Windows 注册表,一个错误可能会严重破坏您的 Windows 构建。

正如微软本身在此漏洞的咨询警告中所说的那样,“您可能会导致严重的问题,可能需要您重新安装操作系统。” 如果这种情况发生在您身上,Tom’s Guide 将不承担任何责任,因此请自行承担风险。

这还将使您无法在 Word、Excel、PowerPoint 或其他 Office 应用程序中查看基于 Web 的内容,使 Internet Explorer 瘫痪,还可能影响文件资源管理器和 Windows 中内置的其他程序。 它不会影响 Microsoft Edge。

1. 确保您以管理员帐户运行 Windows。

2. 将以下所有文本复制并粘贴到文本文件中,与所写的完全相同:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]
"1001"=dword:00000003
"1004"=dword:00000003

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]
"1001"=dword:00000003
"1004"=dword:00000003

3. 使用“.reg”文件扩展名将文本文件保存到桌面。 文件的名称无关紧要——重要的是扩展名——但作为一个例子,您可以将其称为“flaw-fix.reg”。

4. 在桌面上找到该文件并双击它。

5. 在弹出的窗口中单击“是”,警告您编辑注册表时可能发生的所有坏事。

6. 重新启动您的 PC。

这里发生了什么?

早在 1990 年代中期,微软就创建了一个名为 ActiveX 的编程框架来与 Java 和 JavaScript 竞争,这两种工具被广泛用于创建丰富的 Web 内容。 它将 ActiveX 嵌入到 MSHTML 中,MSHTML 是为 Internet Explorer 网络浏览器提供动力的渲染引擎。

今天,既没有开发 ActiveX 也没有开发 Internet Explorer,但 MSHTML 仍然是 Office 和许多默认 Windows 程序(包括 Windows 11)的默认网站渲染引擎。 因此,Word、Excel、PowerPoint、文件资源管理器和其他常见的 Microsoft 应用程序使用MSHTML 和 ActiveX。

只要将这些程序中的每一个都想象成内置了一个迷你 Internet Explorer 浏览器——无论 IE 本身是否真的安装在系统上。

“Word 以一种几乎没有安全性的方式使用 MSHTML,”安全专家 Kevin Beaumont 在上周三(9 月 8 日)在 Twitter 上写道。 “这是一个相当丰富的攻击面。”

查看更多

在这种情况下,攻击者(被认为是 BazarLoader 恶意软件活动的一部分)正在发送带有收件人可能感兴趣的附加 Word 文档的网络钓鱼电子邮件。 一个典型的例子似乎来自明尼阿波利斯的一位律师,威胁说你将在小额索赔法庭上被起诉。

这个例子对很多人来说可能看起来像是一封明显的网络钓鱼电子邮件,但攻击者可以扫描你的社交媒体帖子来制作一个可能更擅长欺骗你的文档。 正如 Dormann 指出的那样,他们可以将其设为 RTF 文件而不是 Office 文件以避免受保护的视图,或者将 Word 文档嵌入 Zip 文件或其他压缩文件夹中以避免受保护的视图。

打开 Office 文件或 RTF 文件后,文件中基于 Web 的内容会激活 MSHTML,然后使用 ActiveX 呈现 Web 内容。

攻击者正在创建自定义的恶意 ActiveX“控件”或编程模块来劫持您的 PC,但 Beaumont 在 Twitter 上表示,他找到了一种无需任何新 ActiveX 控件即可触发漏洞利用的方法。

无论采用何种机制,最终结果都是使用漏洞利用的恶意软件获得与当前用户相同的系统权限。 如果您以受限用户身份运行 Windows,而无法安装、更新或删除应用程序或更改系统设置,那么损害将是有限的。 但是,如果您以管理员身份运行 Windows,那么恶意软件就可以真正接管您的系统。

至少在当前的恶意软件活动中,最终目标是在系统上安装 CobaltStrike 后门,以创建一种永久的、隐藏的远程控制方法。

当今最好的卡巴斯基全面安全交易928 亚马逊客户评论☆☆☆☆☆降价卡巴斯基全面安全 2021…亚马逊89.99 美元39.99 美元卡巴斯基全面安全软件 2016…亚马逊39.99 美元卡巴斯基全面安全软件 2018…亚马逊49.99 美元卡巴斯基全面安全 2020…亚马逊69.35 美元我们每天检查超过 2.5 亿件产品以获得最优惠的价格