CVE-2021-40444

Microsoft MSHTML

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft MSHTML contains a unspecified vulnerability that allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-40444) в компоненте MSHTML (движок Internet Explorer) позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Для эксплуатации достаточно, чтобы пользователь открыл специально созданный документ Office (например, Word, Excel) или перешел по вредоносной ссылке, что приведет к загрузке и исполнению кода с правами текущего пользователя.

Как исправить

Установите официальные обновления безопасности от Microsoft. Конкретный номер обновления зависит от вашей версии ОС:

  • Windows 10 и Windows 11: Установите обновление от сентября 2021 года или новее. Например, для Windows 10 21H1 это KB5005565.
  • Windows Server 2012 R2, 2016, 2019, 2022: Установите соответствующие ежемесячные накопительные обновления (Monthly Rollup) или обновления только для системы безопасности (Security Only) за сентябрь 2021 года.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите Проверка наличия обновлений. 3. Установите все найденные обновления, особенно с пометкой "Критическое". 4. Перезагрузите систему.

Альтернативно (через PowerShell с правами администратора):

# Проверить доступные обновления
Get-WindowsUpdate

# Установить все обновления (в PowerShell 5.1 может потребоваться модуль PSWindowsUpdate)
Install-WindowsUpdate -AcceptAll -AutoReboot

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

  1. Отключите установку всех элементов управления ActiveX в Internet Explorer:

    • Откройте Панель управления -> Свойства браузера.
    • Перейдите на вкладку Безопасность.
    • Нажмите Другой.
    • В разделе Элементы ActiveX и модули подключения установите Отключить для всех параметров, связанных с элементами ActiveX и модулями.
    • Нажмите ОК и перезапустите браузер.

  2. Используйте правила блокировки в Microsoft Defender Exploit Guard (ASR):

    • Включите правило Блокирование создания дочерних процессов Office (GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A).
    • Команда для PowerShell (требуются права администратора): powershell Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled

  3. Настройте WAF/IDS/IPS: Добавьте сигнатуры для блокировки известных шаблонов атак, связанных с CVE-2021-40444 (например, попытки загрузки вредоносных CAB-файлов или MSI-пакетов через HTTP).

  4. Повысьте осведомленность пользователей: Рекомендуйте сотрудникам не открывать вложения Office и не переходить по ссылкам из непроверенных источников.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей