黑客如何利用 Microsoft Word 文档来破解 Windows

最近在微软专有的 MSHTML 浏览器引擎中发现了一个漏洞,黑客可以在所有版本的 Windows 中远程执行代码。攻击者正在使用特制的 Word 文档来利用这个零日漏洞。不幸的是,MSHTML 也被一些微软产品使用,包括 Skype、Visual Studio 和 Microsoft Outlook,所以这个问题非常普遍。

因此,让我们探索漏洞利用的工作原理以及如何保护自己免受攻击。

Microsoft Word 零日漏洞利用是如何工作的?

当用户被诱骗打开一个武器化的 Word 文档时,攻击就开始了。本文档将包含一个特制的 ActiveX 控件,用于由 MSHTML 引擎处理。成功加载后,黑客可以使用此 ActiveX 控件在受感染设备上运行远程代码。

Microsoft 正在将此错误作为 CVE-2021-40444 进行跟踪,并为其分配了 8.8 的 CVSS 分数。它使 MSHTML 错误成为可能造成相当大破坏的高影响问题。

如何缓解 MSHTML 攻击

用户可以通过不打开不受信任的 Word 文档来防止 MSHTML 攻击。即使您不小心单击了此类文档,使用默认配置运行 Office 也可能使您免受最新的与 Microsoft 相关的零日攻击

默认情况下,Office 在受保护的视图或 Office 的应用程序防护中打开从 Internet 下载的文档。此功能可防止不受信任的文件访问关键系统资源,因此您可能会很安全。

但是,以管理员权限操作的用户面临 MSHTML 攻击的高风险。由于现在没有可用的补丁,我们建议您仅以标准用户身份打开 Office 文档,受保护的视图可以为您提供帮助。微软还表示,禁用 ActiveX 控件可以防止这种攻击。

相关:微软激活 Office 365 的应用程序保护以保护家庭工人

如何禁用 ActiveX 控件

要禁用 ActiveX 控件,请打开文本编辑器并创建一个名为disable-activex.reg的文件。只要存在.reg扩展名,您就可以随意调用此文件。现在,将以下内容粘贴到文件中并保存。

 Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones ]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsCurrentVersionInternet SettingsZones3]
"1001"=dword:00000003
"1004"=dword:00000003

双击该文件并在 Windows 提示时单击。完成后重新启动您的 PC,Windows 将应用新配置。

谨防不受信任的 Word 文档

微软尚未发布针对 MSHTML 漏洞的官方补丁。因此,如果您想保持安全,最好不要单击从 Internet 下载的文档。幸运的是,Defender 可以检测并防止这种攻击危及您的系统。因此,请确保打开 Microsoft Defender 并启用实时保护。