Новая сигнатура СОВ UserGate детектирует атаки, связанные с уязвимостью в Internet Explorer, угрожающей пользователям Microsoft Office

Дата публикации:

Центр Мониторинга и реагирования UserGate добавил в Систему Обнаружения Вторжений UserGate (IDPS) новую сигнатуру, позволяющую детектировать атаки, использующие уязвимость нулевого дня CVE-2021-40444.

На этой неделе компания Microsoft выпустила предупреждение о новой уязвимости в Microsoft MSHTML. Microsoft MSHTML- проприетарный движок браузера Internet Explorer, также используется в приложениях Office для рендеринга размещенного в интернете контента внутри документов Word, Excel и PowerPoint. Эксплуатация уязвимости может привести к удаленному исполнению вредоносного кода на компьютере жертвы. Первоначально компания заявляла, что атаки не представляют угрозы, если Microsoft Office работает с конфигурацией по умолчанию и документы открываются через Application Guard или Protected View для Office 365. Однако позже выяснилось, что уязвимость серьезнее, так как не требует от пользователя открытия макросов. В итоге уязвимости был присвоен рейтинг опасности - 8.8 по шкале CVSSv3.1.

Уязвимые продукты:

  • Windows
  • Windows Server
  • Microsoft Internet Explorer 11.x
  • Microsoft Internet Explorer 10.x
  • Microsoft Internet Explorer 9.x
  • Microsoft Internet Explorer 8.x
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01
  • Microsoft Internet Explorer 7.x
  • Microsoft Internet Explorer 6.x

Уязвимые версии:

  • Windows версии 10 1809, 10 1909, 10 2004, 10 20H2, 10, 10 1607, 8.1, RT 8.1, 10 S, 10 1507, 10 Mobile, 10 1903, 10 1803, 10 1709, 10 1703, 10 1511, 10 Gold
  • Windows Server версии 2019, 2019 2004, 2019 20H2, 2016, 2008, 2008 R2, 2012, 2012 R2
  • Microsoft Internet Explorer версии 11

Система Обнаружения Вторжений (СОВ) в составе UserGate NGFW детектирует и блокирует сеансы, связанные с этой уязвимостью автоматически.
Специалисты Центра Мониторинга и реагирования UserGate рекомендуют пользователям уязвимых продуктов одно из следующих действий:

  • Пока Microsoft не выпустила обновление, которое исправляет уязвимость, следует активировать запрет на установку новых элементов управления ActiveX через системный реестр, добавив запись REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3" /t REG_DWORD /v 1400 /d 3 /f.
  • Проверить актуальность подписки на модуль Security Updates. При использовании профиля сигнатур UserGate, все новые сигнатуры начинают работать автоматически.
  • Создать правило СОВ с новой сигнатурой MS Windows MSHTML RCE, если используется собственный профиль сигнатур.