CVE-2021-40444

前言

       CVE-2021-40444 是微软 MSHTML（Trident）引擎中的一个远程代码执行（RCE）漏洞，影响 Microsoft Office 套件（如 Word、Excel 等）。该漏洞于 2021 年 9 月被披露并修复，因其利用门槛低、危害严重，曾被广泛用于钓鱼攻击。

一、漏洞原理

       MSHTML 是 IE 浏览器的核心渲染引擎，而 Microsoft Office 软件（如 Word、Excel）在处理包含 HTML/ActiveX 内容的文档（如 .docx、.rtf）时，会调用 MSHTML 解析嵌入的 HTML 或 ActiveX 对象。

漏洞核心：

       MSHTML 在处理 ActiveX 控件 或特定 HTML 对象时，存在内存管理错误（如类型混淆、堆溢出或使用后释放（UAF））。攻击者可构造恶意的 Office 文档，当用户打开时，MSHTML 在解析恶意对象时触发内存破坏，进而控制程序执行流程，执行任意代码。

二、利用方式

1. 传播恶意文档：攻击者发送伪装成“订单”“发票”等正常文件的 .docx 文档（如“订单.docx”），通过邮件、即时通讯工具等渠道传播。
2. 用户打开文档：用户被诱导（如“点击查看详情”）用未打补丁的 Office 软件打开文档。
3. MSHTML 解析触发漏洞：Office 调用 MSHTML 引擎解析文档中的 HTML/ActiveX 内容。当处理恶意构造的 ActiveX 控件（通过 <object> 标签或控件标识）时，触发内存破坏漏洞。
4. 执行恶意载荷：攻击者控制的 shellcode 或下载器被执行，从攻击者服务器下载恶意软件（如木马、勒索软件）。
5. 完成攻击目标：恶意软件在用户系统上运行，窃取数据、加密文件或建立后门等。

三、防御措施

1. 安装官方安全补丁

        微软已于 2021 年 9 月发布安全更新（如 KB5004945 等），覆盖 Office 2013、2016、2019、2021 及 Office 365 版本。用户需尽快通过 Windows Update 或 Office 更新 安装补丁，修复漏洞。

2. 禁用高风险功能

①禁用 ActiveX 控件：在 Office 设置中关闭 ActiveX（路径：文件→选项→信任中心→信任中心设置→ActiveX 设置→勾选“禁用所有控件”），或通过组策略限制 ActiveX 执行。

②限制宏执行：若文档依赖宏，需严格限制宏的运行（仅允许数字签名宏），避免自动执行恶意宏。

3. 启用 Office 安全功能

①受保护视图：确保 Office 的“受保护视图”开启（路径：文件→选项→信任中心→信任中心设置→受保护视图→勾选“在受保护视图中打开可能包含病毒的文档”），阻止自动执行外部内容。

②文件阻断：禁用 Office 对高危文件格式（如 .docm、.rtf）的自动解析，或通过组策略限制。

4. 网络层防御

①邮件网关过滤：部署邮件安全网关（如 Exchange Online Protection、Proofpoint），扫描附件并拦截包含恶意 Office 文档的邮件。

②Web 网关防护：阻止用户从不可信来源下载 .docx、.rtf 等文件，或对下载文件进行实时沙箱检测。

5. 终端安全加固

①反病毒/EDR：部署下一代反病毒（NGAV）或端点检测与响应（EDR）工具，实时监控 Office 进程（如 WINWORD.EXE）的异常行为（如非授权网络连接、内存注入），拦截恶意载荷执行。

②最小权限原则：用户以普通权限运行 Office，避免恶意软件以管理员权限执行。

6. 用户安全意识培训

①教育用户不打开来历不明的文档，尤其是 .docx、.rtf 等格式，警惕钓鱼邮件中的“紧急”“重要”标签。

②推广“预览模式”（如 Outlook 的安全预览），避免直接双击打开附件。

总结

       CVE-2021-40444 是典型的“文档型”远程代码执行漏洞，依赖 Office 调用 MSHTML 处理 ActiveX 时的内存错误。防御关键在于及时更新补丁、禁用高风险功能（ActiveX）及多层次安全防护（补丁+网络+终端）。企业需构建“预防-检测-响应”的全链条防御体系，降低漏洞利用风险。

 结语        

有则锦上添花

无则顺其自然

！！！