A Microsoft está investigando relatórios de uma vulnerabilidade de execução remota de código (CVE-2021-40444) no MSHTML que afeta o Microsoft Windows. A Microsoft está ciente dos ataques direcionados que tentam explorar esta vulnerabilidade usando documentos do Microsoft Offices.Um invasor pode criar um controle ActiveX malicioso para ser usado por um documento do Microsoft Office que hospeda o mecanismo de renderização do navegador. O invasor teria então que convencer o usuário a abrir o documento malicioso. Os usuários cujas contas são configuradas com poucos privilégios administrativos, no sistema, podem ser menos afetados em relação aos usuários com maiores permissões administrativas.
O Microsoft Defender Antivirus e o Microsoft Defender for Endpoint fornecem detecção e proteção para a vulnerabilidade conhecida. Os clientes devem manter os produtos antimalware atualizados. Os clientes que utilizam atualizações automáticas não precisam realizar nenhuma ação adicional. Os clientes corporativos que gerenciam atualizações devem selecionar a compilação de detecção 1.349.22.0 ou mais recente e implantá-la em seus ambientes. Os alertas do Microsoft Defender for Endpoint serão exibidos como: “Suspicious Cpl File Execution”.Após a conclusão desta investigação, a Microsoft tomará as medidas adequadas para ajudar a proteger seus clientes. Isso pode incluir o fornecimento de uma atualização de segurança por meio do processo de lançamento mensal ou o fornecimento de uma atualização de segurança fora do ciclo.
Mitigação
Por padrão, o Microsoft Office abre documentos da Internet no Modo de Exibição Protegido ou no Application Guard for Office, ambos evitando o ataque atual. Para obter informações sobre o modo de exibição protegido, consulte O que é modo de exibição protegido.
Medida Técnica
Desabilitar a instalação de todos os controles ActiveX no Internet Explorer atenua esse ataque. Os controles ActiveX instalados anteriormente continuarão em execução, mas não expõem essa vulnerabilidade.
1. Crie um arquivo de registro de sistema, salvando-o com a extensão .reg. Em seguida, cole o código abaixo:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"1001"=dword:00000003
"1004"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1001"=dword:00000003
"1004"=dword:00000003
2. Clique duas vezes no arquivo para aplicar a modificação
3. Reinicie o sistema
Em um ambiente maior, o recomendado é a utilização de uma GPO para desabilitar esse recurso nos hosts do domínio. Novos controles ActiveX não serão instalados. Os controles ActiveX instalados anteriormente continuarão a funcionar.Para reversão desssa medida técnica, basta excluir o registro aplicado.