آسیب‌پذیری اجرای کد از راه دور در Microsoft MSHTML و نحوه رفع این آسیب‌پذیری

راهکار EDR

مایکروسافت در حال بررسی گزارشاتی از یک آسیب‌پذیری اجرای کد از راه دور در MSHTML است که روی Microsoft Windows تأثیر می‌گذارد. مایکروسافت از حملات هدف‌داری که سعی در اکسپلویت کردن این آسیب‌پذیری، با استفاده از اسناد مخصوص Microsoft Office دارند، مطلع است.

یک مهاجم می‌تواند یک کنترل ActiveX مخرب را ایجاد کند که توسط یک سند Microsoft Office مورداستفاده قرار بگیرد که موتور Rendering مرورگر را میزبانی (Host) می‌کند. سپس این مهاجم باید کاربر را راضی کند که سند مخرب را باز نماید.  ممکن است کاربرانی که حساب‌های کاربری آن‌ها با دسترسی کاربری کمتری روی سیستم پیکربندی شده‌اند، کمتر از کاربرانی که دسترسی ادمین دارند، تحت تأثیر قرار بگیرد.

آنتی‌ویروس Microsoft Defender و Microsoft Defender for Endpoint، هر دو قابلیت شناسایی و حفاظت در مقابل این آسیب‌پذیری شناخته شده را فراهم می‌کنند. کاربران باید همیشه محصولات ضدبدافزار خود را بروز نگه دارند. مشتریانی که از بروز‌رسانی‌های خودکار استفاده می‌کنند، نیازی نیست که اقدامی انجام دهند. مشتریان سازمانی که بروزرسانی‌ها را مدیریت می‌کنند باید نسخه‌ی شناسایی ۱.۳۴۹.۲۲.۰ یا جدیدتری را انتخاب کرده و روی محیط خود پیاده‌سازی نمایند. هشدارهای Microsoft Defender for Endpoint به شکل زیر نمایش داده می‌شوند: «Suspicious Cpl File Execution».

با اتمام این بررسی، مایکروسافت اقدامات مناسبی را برای کمک به حفاظت از کاربران انجام می‌دهد. این اقدامات می‌تواند شامل فراهم کردن یک بروزرسانی امنیتی از طریق فرایند انتشار ماهانه یا فراهم کردن یک بروزرسانی خارج از چرخه، بسته به نیازهای مشتری باشد.

برای کسب اطلاعات مهم در مورد اقداماتی که می‌توان جهت حفاظت از سیستم در مقابل این آسیب‌پذیری انجام داد، به بخش‌های اصلاحات و راهکارها رجوع کنید.

احتمال اکسپلویت شدن از طریق این آسیب‌پذیری

جدول زیر یک ارزیابی از امکان اکسپلویت شدن را برای این آسیب‌پذیری فراهم می‌کند.

افشای عمومی اکسپلویت‌شده ارزیابی امکان اکسپلویت شدن
اکسپلویت شناسایی شد بله بله

اصلاحات

به‌طور پیشفرض، Microsoft Office اسنادی که از اینترنت باز می‌شوند را در حالت  Protected View یا Application Guard for Office باز می‌کند که هر دو مورد از حمله‌ی کنونی پیشگیری می‌نمایند.

راهکارهایی برای جلوگیری از اکسپلویت شدن

غیرفعال کردن نصب تمام کنترل‌های ActiveX در Internet Explorer جلوی این حمله را می‌گیرد. جهت انجام این کار برای تمام سایت‌ها می‌توان Group Policy را با استفاده از Local Group Policy Editor پیکربندی کرد یا Registry را بروزرسانی نمود. کنترل‌های ActiveX که قبلاً نصب شده بودند همچنان اجرا می‌شوند، اما این آسیب‌پذیری را افشا نمی‌کنند.

  • غیرفعال کردن کنترل‌های ActiveX از طریق Group Policy

در تنظیمات Group Policy، به بخش Computer Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page بروید.

برای هر Zone:

  1. Zone مربوطه را انتخاب کنید (Internet Zone، Intranet Zone، Local Machine Zone یا Trusted Sites Zone).
  2. روی Download signed ActiveX controls و Enable دابل‌کلیک کنید. سپس گزینه‌ی داخل Policy را به Disable تنظیم کنید.
  3. روی Download unsigned ActiveX controls و Enable دابل‌کلیک کنید. سپس گزینه‌ی داخل Policy را به Disable تنظیم کنید.

پیشنهاد می‌شود که این تنظیمات به تمام Zoneها اعمال شوند تا سیستم به‌طور کامل محافظت گردد.

تأثیر راهکار

این کار URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) و URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) را برای تمام Zoneهای اینترنت برای فرایندهای ۶۴ بیت و ۳۲ بیت، به DISABLED (3)  تنظیم می‌کند. کنترل‌های ActiveX جدید نصب نخواهند شد. کنترل‌های ActiveX که قبلاً نصب شده‌اند به کار خود ادامه می‌دهند.

نحوه‌ی بازگردانی راهکار

گزینه‌ی داخل Policy را به Enable تنظیم کنید.

  • غیرفعال کردن کنترل‌ها روی هر سیستم مجزا از طریق regkey

هشدار! اگر به نادرست از Registry Editor استفاده می‌کنید، ممکن است این کار باعث مشکلات زیادی شود که شاید نیازمند نصب مجدد سیستم عامل باشد. مایکروسافت نمی‌تواند تضمین کند که افراد بتوانند مشکلات ناشی از استفاده‌ی نادرست از Registry Editor را رفع کنند. ریسک‌های استفاده از Registry Editor برعهده‌ی کاربر است.

  1. برای غیرفعال کردن کنترل‌ها ActiveX در Internet Explorer در تمام Zoneها، باید اطلاعات زیر را در یک فایل متنی Paste کنید و آن را با افزونه‌ی فایل reg. ذخیره نمایید:

 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]”1001″=dword:00000003″1004″=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]”1001″=dword:00000003″1004″=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]”1001″=dword:00000003″1004″=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]”1001″=dword:00000003″1004″=dword:00000003

  • برای اعمال تغییرات در Policy Hive خود، روی فایل reg. کلیک کنید.
  • سیستم را ریبوت نمایید تا اطمینان حاصل کنید که پیکربندی‌های جدید اعمال شده‌اند.

تأثیر راهکار

این کار URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) و URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) را برای تمام Zoneهای اینترنت برای فرایندهای ۶۴ بیت و ۳۲ بیت، به DISABLED (3) تنظیم می‌کند. کنترل‌های ActiveX جدید نصب نخواهند شد. کنترل‌های ActiveX که قبلاً نصب شده‌اند به کار خود ادامه می‌دهند.

نحوه‌ی بازگردانی راهکار

Registry Keyهایی که در هنگام پیاده‌سازی این راهکار اضافه شدند را حذف کنیم.

  • غیرفعال کردن پیش‌نمایش در Windows Explorer

غیرفعال کردن پیش‌نمایش‌های Shell از اینکه کاربری بتواند اسناد را در Windows Explorer پیش‌نمایش کند، جلوگیری می‌کند. برای هر نوع سندی که می‌خواهید از پیش‌نمایش آن جلوگیری کنید، اقدامات زیر را انجام دهید:

  1. در Registry Editor به Registry Key مناسب بروید:

برای اسناد Word:

  • HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  • HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  • HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}

برای فایل‌های Rich Text:

  • HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
  1. یک کپی از Regkey را برای پشتیبان‌گیری استخراج کنید.
  2. روی Name دابل‌کلیک کنید و در پیامِ Edit String که نمایش داده می‌شود Value Data را حذف کنید.
  3. روی OK کلیک کنید.

تأثیر راهکار

کاربران نمی‌توانند اسناد را در Windows Explorer پیش‌نمایش کنند.

نحوه‌ی بازگردانی راهکار

روی فایل reg. که در قدم دوم از راهکار ساخته‌اید دابل‌کلیک کنید.

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.