مایکروسافت در حال بررسی گزارشاتی از یک آسیبپذیری اجرای کد از راه دور در MSHTML است که روی Microsoft Windows تأثیر میگذارد. مایکروسافت از حملات هدفداری که سعی در اکسپلویت کردن این آسیبپذیری، با استفاده از اسناد مخصوص Microsoft Office دارند، مطلع است.
یک مهاجم میتواند یک کنترل ActiveX مخرب را ایجاد کند که توسط یک سند Microsoft Office مورداستفاده قرار بگیرد که موتور Rendering مرورگر را میزبانی (Host) میکند. سپس این مهاجم باید کاربر را راضی کند که سند مخرب را باز نماید. ممکن است کاربرانی که حسابهای کاربری آنها با دسترسی کاربری کمتری روی سیستم پیکربندی شدهاند، کمتر از کاربرانی که دسترسی ادمین دارند، تحت تأثیر قرار بگیرد.
آنتیویروس Microsoft Defender و Microsoft Defender for Endpoint، هر دو قابلیت شناسایی و حفاظت در مقابل این آسیبپذیری شناخته شده را فراهم میکنند. کاربران باید همیشه محصولات ضدبدافزار خود را بروز نگه دارند. مشتریانی که از بروزرسانیهای خودکار استفاده میکنند، نیازی نیست که اقدامی انجام دهند. مشتریان سازمانی که بروزرسانیها را مدیریت میکنند باید نسخهی شناسایی ۱.۳۴۹.۲۲.۰ یا جدیدتری را انتخاب کرده و روی محیط خود پیادهسازی نمایند. هشدارهای Microsoft Defender for Endpoint به شکل زیر نمایش داده میشوند: «Suspicious Cpl File Execution».
با اتمام این بررسی، مایکروسافت اقدامات مناسبی را برای کمک به حفاظت از کاربران انجام میدهد. این اقدامات میتواند شامل فراهم کردن یک بروزرسانی امنیتی از طریق فرایند انتشار ماهانه یا فراهم کردن یک بروزرسانی خارج از چرخه، بسته به نیازهای مشتری باشد.
برای کسب اطلاعات مهم در مورد اقداماتی که میتوان جهت حفاظت از سیستم در مقابل این آسیبپذیری انجام داد، به بخشهای اصلاحات و راهکارها رجوع کنید.
احتمال اکسپلویت شدن از طریق این آسیبپذیری
جدول زیر یک ارزیابی از امکان اکسپلویت شدن را برای این آسیبپذیری فراهم میکند.
افشای عمومی | اکسپلویتشده | ارزیابی امکان اکسپلویت شدن |
اکسپلویت شناسایی شد | بله | بله |
اصلاحات
بهطور پیشفرض، Microsoft Office اسنادی که از اینترنت باز میشوند را در حالت Protected View یا Application Guard for Office باز میکند که هر دو مورد از حملهی کنونی پیشگیری مینمایند.
راهکارهایی برای جلوگیری از اکسپلویت شدن
غیرفعال کردن نصب تمام کنترلهای ActiveX در Internet Explorer جلوی این حمله را میگیرد. جهت انجام این کار برای تمام سایتها میتوان Group Policy را با استفاده از Local Group Policy Editor پیکربندی کرد یا Registry را بروزرسانی نمود. کنترلهای ActiveX که قبلاً نصب شده بودند همچنان اجرا میشوند، اما این آسیبپذیری را افشا نمیکنند.
-
غیرفعال کردن کنترلهای ActiveX از طریق Group Policy
در تنظیمات Group Policy، به بخش Computer Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page بروید.
برای هر Zone:
- Zone مربوطه را انتخاب کنید (Internet Zone، Intranet Zone، Local Machine Zone یا Trusted Sites Zone).
- روی Download signed ActiveX controls و Enable دابلکلیک کنید. سپس گزینهی داخل Policy را به Disable تنظیم کنید.
- روی Download unsigned ActiveX controls و Enable دابلکلیک کنید. سپس گزینهی داخل Policy را به Disable تنظیم کنید.
پیشنهاد میشود که این تنظیمات به تمام Zoneها اعمال شوند تا سیستم بهطور کامل محافظت گردد.
تأثیر راهکار
این کار URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) و URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) را برای تمام Zoneهای اینترنت برای فرایندهای ۶۴ بیت و ۳۲ بیت، به DISABLED (3) تنظیم میکند. کنترلهای ActiveX جدید نصب نخواهند شد. کنترلهای ActiveX که قبلاً نصب شدهاند به کار خود ادامه میدهند.
نحوهی بازگردانی راهکار
گزینهی داخل Policy را به Enable تنظیم کنید.
-
غیرفعال کردن کنترلها روی هر سیستم مجزا از طریق regkey
هشدار! اگر به نادرست از Registry Editor استفاده میکنید، ممکن است این کار باعث مشکلات زیادی شود که شاید نیازمند نصب مجدد سیستم عامل باشد. مایکروسافت نمیتواند تضمین کند که افراد بتوانند مشکلات ناشی از استفادهی نادرست از Registry Editor را رفع کنند. ریسکهای استفاده از Registry Editor برعهدهی کاربر است.
- برای غیرفعال کردن کنترلها ActiveX در Internet Explorer در تمام Zoneها، باید اطلاعات زیر را در یک فایل متنی Paste کنید و آن را با افزونهی فایل reg. ذخیره نمایید:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]”1001″=dword:00000003″1004″=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]”1001″=dword:00000003″1004″=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]”1001″=dword:00000003″1004″=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]”1001″=dword:00000003″1004″=dword:00000003
- برای اعمال تغییرات در Policy Hive خود، روی فایل reg. کلیک کنید.
- سیستم را ریبوت نمایید تا اطمینان حاصل کنید که پیکربندیهای جدید اعمال شدهاند.
تأثیر راهکار
این کار URLACTION_DOWNLOAD_SIGNED_ACTIVEX (0x1001) و URLACTION_DOWNLOAD_UNSIGNED_ACTIVEX (0x1004) را برای تمام Zoneهای اینترنت برای فرایندهای ۶۴ بیت و ۳۲ بیت، به DISABLED (3) تنظیم میکند. کنترلهای ActiveX جدید نصب نخواهند شد. کنترلهای ActiveX که قبلاً نصب شدهاند به کار خود ادامه میدهند.
نحوهی بازگردانی راهکار
Registry Keyهایی که در هنگام پیادهسازی این راهکار اضافه شدند را حذف کنیم.
-
غیرفعال کردن پیشنمایش در Windows Explorer
غیرفعال کردن پیشنمایشهای Shell از اینکه کاربری بتواند اسناد را در Windows Explorer پیشنمایش کند، جلوگیری میکند. برای هر نوع سندی که میخواهید از پیشنمایش آن جلوگیری کنید، اقدامات زیر را انجام دهید:
- در Registry Editor به Registry Key مناسب بروید:
برای اسناد Word:
- HKEY_CLASSES_ROOT.docx\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
- HKEY_CLASSES_ROOT.doc\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
- HKEY_CLASSES_ROOT.docm\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
برای فایلهای Rich Text:
- HKEY_CLASSES_ROOT.rtf\ShellEx{8895b1c6-b41f-4c1c-a562-0d564250836f}
- یک کپی از Regkey را برای پشتیبانگیری استخراج کنید.
- روی Name دابلکلیک کنید و در پیامِ Edit String که نمایش داده میشود Value Data را حذف کنید.
- روی OK کلیک کنید.
تأثیر راهکار
کاربران نمیتوانند اسناد را در Windows Explorer پیشنمایش کنند.
نحوهی بازگردانی راهکار
روی فایل reg. که در قدم دوم از راهکار ساختهاید دابلکلیک کنید.