微软修复了CVE-2021-40444 MSHTML 零日漏洞

微软补丁周二安全更新为2021年9月解决了一个高度严重的零日RCE积极利用针对微软办公室和Offrys 365在Windows 10计算机的有针对性的攻击。

该缺陷，跟踪为CVE-2021-40444，位于MSHTML，这是Windows互联网浏览器浏览器的主要HTML组件，它也用于其他应用程序。

上周，微软警告称，互联网浏览器中一个零日漏洞（CVE-2021-40444）正被威胁行为者积极利用，劫持易受攻击的Windows系统。当时，微软既没有分享有关攻击的信息，也没有分享威胁行为者的性质。

在传播武器化办公室文档的恶意邮件攻击中，威胁行为者利用了这一漏洞。

"此修补程序修复了当前通过 Office 文档被利用的错误。专门制作的 ActiveX 控制嵌入到 Office doc 中，然后发送到目标。如果在受影响的系统上打开，代码将按登录用户的水平执行。微软将禁用 ActiveX 列为解决方法，但其他报告表示，这可能无效。到目前为止，最有效的防御方法是应用补丁，避免您不希望收到 Office 文档。阅读Zdi 发布的帖子。"针对特定平台有多个更新，因此请务必仔细审查并安装所有必要的修补程序，以确保您被覆盖。

曼迪安特的研究人员布莱斯·阿卜多、达内什·基扎基南和姜根伟以及EXPMON的李海飞报告了这一缺陷。EXPMON 的研究人员将利用 CVE-2021-40444 缺陷的攻击定义为对微软 Office 用户的高度复杂的零日攻击。

"微软已发布安全更新以解决此漏洞。请参阅安全更新表，了解系统适用的更新。我们建议您立即安装这些更新。阅读微软发布的公告的更新。

本月，微软在微软视窗组件、微软边缘（铬、iOS和安卓）、Azure、办公室和办公室组件、共享点服务器、微软视窗 DNS 和 Linux 的 Windows 子系统中共处理了 66 个 CVEs。

微软修复的三个缺陷被评定为"关键"，另外两个关键问题是Windows WLAN 自动配置服务远程代码执行漏洞（CVE-2021-36965）和开放式管理基础设施远程代码执行漏洞（CVE-2021-38647）。

其他 62 个缺陷被评为"重要"，只有一个缺陷的严重程度被评为中度。