CVE-2021-33742

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows MSHTML Platform contains an unspecified vulnerability that allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в компоненте MSHTML (движок Internet Explorer) в Windows. Злоумышленник может создать специальный документ Office или веб-страницу, которая при открытии жертвой (например, в предпросмотре файла Outlook) загружает и выполняет вредоносный код на компьютере пользователя с его правами. Для эксплуатации достаточно, чтобы пользователь открыл подготовленный файл.

Как исправить

Установите официальные обновления безопасности от Microsoft. Критическое обновление было выпущено в июле 2021 года.

  • Для Windows 10 (все поддерживаемые версии): Установите накопительное обновление от 13 июля 2021 г. или новее.
    • Пример для версии 20H2: Обновление KB5004237 (сборка ОС 19042.1110) или выше.
  • Для Windows Server 2019: Установите накопительное обновление KB5004238 (сборка ОС 17763.2061) или выше.
  • Для более старых версий (Windows 7, 8.1, Server 2012 R2): Установите ежемесячный накопительный пакет обновления от июля 2021 г. (например, KB5004239 для Windows 8.1).

Действия: 1. Откройте Параметры Windows > Обновление и безопасность > Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений" и установите все предложенные обновления. 3. Перезагрузите систему.

Альтернативно (для администрирования):

# Через PowerShell с правами администратора
Install-Module -Name PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

  1. Отключите установку ActiveX в Internet Explorer (для всего предприятия через GPO):

    • Настройте политику: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Безопасность -> Функции безопасности -> Добавить сайты в зоны "Надежные узлы" и "Ограниченные узлы".
    • Включите параметр "Список сайтов зоны ограниченных узлов" и добавьте http://* и https://*, чтобы все сайты по умолчанию работали в ограниченной зоне, где ActiveX отключен.

  2. Блокировка через Microsoft Defender Exploit Guard (ASR):

    • Включите правило сокращения поверхности атаки (ASR): "Блокировать создание дочерних процессов исполняемым файлом Office".
    • Команда PowerShell (требуется E5 лицензия или Microsoft Defender для конечных точек): bash Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled

  3. Сетевая блокировка (WAF/Прокси):

    • Настройте правила в корпоративном брандмауэре или WAF на блокировку HTTP-запросов, содержащих в User-Agent строки, характерные для MSHTML (MSIE 7.0; MSIE 8.0; MSIE 9.0; MSIE 10.0; Trident/*), если это не нарушит работу легитимных устаревших веб-приложений.

  4. Информирование пользователей:

    • Направьте сотрудникам предупреждение не открывать вложения Office (.docx, .xlsx и др.) и ссылки из непроверенных источников.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей