近年来,全球网络安全威胁态势愈发严峻,安全事件层出不穷。2021年5月,美国最大的成品油管道运营商科洛尼尔因受到勒索软件攻击,被迫关闭多个关键燃油网络,致使国家进入紧急状态;同年11月,加拿大最大城市多伦多也遭勒索软件攻击,导致公共交通IT系统几乎全部瘫痪。

在网络安全威胁日益复杂和多元的背景下,威胁情报作为企业安全防御“化被动为主动”的利器,一直备受行业关注。威胁情报具备诸多优势:可以提前获取攻击者的攻击工具、攻击途径、攻击意图等信息,直接推动安全事件的快速响应。目前,威胁情报已被广泛应用于安全领域的各类产品及解决方案中。

Gatner在2021年最新的全球威胁情报市场指南中提到,“威胁情报支出预计将以 15.8% 的复合年增长率增长,到 2025 年达到 26 亿美元”。可见,威胁情报的市场前景持续向好。

腾讯安全依托二十余年网络安全实战经验,以及大数据智能分析能力,打造了具备基础情报能力、业务情报能力和风险检测能力的威胁情报大数据平台。腾讯安全威胁情报覆盖业务情报、风险测绘和基础情报,目前已覆盖金融、互联网、大型企业、政府、教育、医疗类客户,得到了众多行业头部客户的认可。

不过,对于许多中小安全厂商来说自建情报中心较难,面临着成本高、使用场景少、情报数据来源少以及开发人员开发工具不完善、知识阵地稀缺、测试样本少的需求痛点,如何低成本获得全面情报能力,全面提高产品预警和响应速度,进而大幅提高安全检测能力?

4月28日14:00,腾讯安全将举行“腾讯安全威胁情报品牌发布会暨腾讯安全情报联盟启动仪式”,以安全共建、打造威胁情报生态圈为核心,介绍“随时随地、快人一步”的威胁情报中心产品在威胁情报方面的核心价值。同时,发布会压轴环节将举行腾讯安全情报联盟启动仪式,输出联盟在共建情报中心、云端数据查询、产品内嵌集成、安全服务工具、解决方案集成这五大合作模式上,全面合作输出情报能力,实现共赢的美好愿景。

欢迎感兴趣的行业同仁,关注腾讯安全视频号进行直播预约,和我们共同探讨如何构建更具实战能力、更加高效可信、更快响应能力的威胁情报,同时与腾讯威胁情报联盟共同探讨如何依托实践、技术、体系这三大品牌优势,让客户更省钱、更高效、更安全、更省心,进而实现威胁情报效用最大化。

微信图片_20220426102550.png

近年来,全球网络安全威胁态势愈发严峻,安全事件层出不穷。2021年5月,美国最大的成品油管道运营商科洛尼尔因受到勒索软件攻击,被迫关闭多个关键燃油网络,致使国家进入紧急状态;同年11月,加拿大最大城市多伦多也遭勒索软件攻击,导致公共交通IT系统几乎全部瘫痪。

在网络安全威胁日益复杂和多元的背景下,威胁情报作为企业安全防御“化被动为主动”的利器,一直备受行业关注。威胁情报具备诸多优势:可以提前获取攻击者的攻击工具、攻击途径、攻击意图等信息,直接推动安全事件的快速响应。目前,威胁情报已被广泛应用于安全领域的各类产品及解决方案中。

Gatner在2021年最新的全球威胁情报市场指南中提到,“威胁情报支出预计将以 15.8% 的复合年增长率增长,到 2025 年达到 26 亿美元”。可见,威胁情报的市场前景持续向好。

腾讯安全依托二十余年网络安全实战经验,以及大数据智能分析能力,打造了具备基础情报能力、业务情报能力和风险检测能力的威胁情报大数据平台。腾讯安全威胁情报覆盖业务情报、风险测绘和基础情报,目前已覆盖金融、互联网、大型企业、政府、教育、医疗类客户,得到了众多行业头部客户的认可。

不过,对于许多中小安全厂商来说自建情报中心较难,面临着成本高、使用场景少、情报数据来源少以及开发人员开发工具不完善、知识阵地稀缺、测试样本少的需求痛点,如何低成本获得全面情报能力,全面提高产品预警和响应速度,进而大幅提高安全检测能力?

4月28日14:00,腾讯安全将举行“腾讯安全威胁情报品牌发布会暨腾讯安全情报联盟启动仪式”,以安全共建、打造威胁情报生态圈为核心,介绍“随时随地、快人一步”的威胁情报中心产品在威胁情报方面的核心价值。同时,发布会压轴环节将举行腾讯安全情报联盟启动仪式,输出联盟在共建情报中心、云端数据查询、产品内嵌集成、安全服务工具、解决方案集成这五大合作模式上,全面合作输出情报能力,实现共赢的美好愿景。

欢迎感兴趣的行业同仁,关注腾讯安全视频号进行直播预约,和我们共同探讨如何构建更具实战能力、更加高效可信、更快响应能力的威胁情报,同时与腾讯威胁情报联盟共同探讨如何依托实践、技术、体系这三大品牌优势,让客户更省钱、更高效、更安全、更省心,进而实现威胁情报效用最大化。

微信图片_20220426102550.png

随着产业数字化的深度推进,网络空间安全态势愈发波云诡谲,2021年因网络犯罪带来的损失就高达69亿美元。重大活动期间往往是黑灰产频繁活动的时刻,0day漏洞、密码爆破、跨站脚本攻击、DDoS攻击、钓鱼攻击层出不穷,此时企业对安全防护有着更高的要求。

面对重保期间时间紧、任务重、要求高、人手不足等诸多挑战,企业的安全团队亟需快速了解攻击方的威胁信息,对威胁动向做出合理的预判,进而提高信息系统的安全响应能力。

腾讯安全威胁情报在互联网威胁监测服务、互联网数据资产泄露监测、黑灰产工具动向监测服务方面已积累了丰富的成功经验。尤其是在重保场景下,可提供事前、事中、事后全流程重保支持,依托腾讯安全在云、管、端以及业务侧积累的安全产品和数据,腾讯安全威胁情报建立了夯实的情报生产基础,可协助企业在重保期间实现事前攻击面评估、事中情报支撑以及事后追踪溯源。

重保期间安全挑战层层加码,通过安全防护手段确保“0安全事件0损失”成为企业的刚性需求。以云上安全第一道防线——云防火墙为例,重保场景下腾讯安全云防火墙实现了自动梳理云上资产、智能分组管理,通过开启重保专项威胁情报,让黑客无处藏匿。此外,随着Web接口和应用的云化,腾讯安全WAF针对重保期间泛互行业猛烈上升的攻击趋势,可提供细粒度的处置策略,保障重保及常态情境下业务与数据安全。

面对重保场景下资产数量庞大难管理、主动外联管控难精细以及内网横移风险高的现实痛点,企业如何化“被动防御”为“主动防御”?如何让不同的产品、业务场景与威胁情报有机结合,在应用中发挥最大价值,进而保障安全万无一失呢?

4月下旬开始,腾讯安全将推出《重保主题公开课》。4月21日19:00-21:00,第一场公开课——“威胁情报在重保场景下的实战价值”即将开播。来自腾讯安全的三位技术专家,将以“威胁情报在安全重保场景的最佳实践”为主题,分别从腾讯安全威胁情报、云防火墙、WAF的角度进行经验分享,并结合腾讯安全二十多年黑灰产对抗经验和威胁情报相关实践经验,为重保期间系统、有效地防护云上资产提出解决之道,进而增强企业业务风险的防御能力,使之更好地应对云原生时代下愈发严峻的网络安全困境。……

感兴趣的行业同仁可以关注腾讯安全视频号进行预约,共同探讨重保场景下安全防护工具在企业中的应用价值。也欢迎添加小助手进群,与威胁情报团队零距离提问交流。

image.png

随着产业数字化的深度推进,网络空间安全态势愈发波云诡谲,2021年因网络犯罪带来的损失就高达69亿美元。重大活动期间往往是黑灰产频繁活动的时刻,0day漏洞、密码爆破、跨站脚本攻击、DDoS攻击、钓鱼攻击层出不穷,此时企业对安全防护有着更高的要求。

面对重保期间时间紧、任务重、要求高、人手不足等诸多挑战,企业的安全团队亟需快速了解攻击方的威胁信息,对威胁动向做出合理的预判,进而提高信息系统的安全响应能力。

腾讯安全威胁情报在互联网威胁监测服务、互联网数据资产泄露监测、黑灰产工具动向监测服务方面已积累了丰富的成功经验。尤其是在重保场景下,可提供事前、事中、事后全流程重保支持,依托腾讯安全在云、管、端以及业务侧积累的安全产品和数据,腾讯安全威胁情报建立了夯实的情报生产基础,可协助企业在重保期间实现事前攻击面评估、事中情报支撑以及事后追踪溯源。

重保期间安全挑战层层加码,通过安全防护手段确保“0安全事件0损失”成为企业的刚性需求。以云上安全第一道防线——云防火墙为例,重保场景下腾讯安全云防火墙实现了自动梳理云上资产、智能分组管理,通过开启重保专项威胁情报,让黑客无处藏匿。此外,随着Web接口和应用的云化,腾讯安全WAF针对重保期间泛互行业猛烈上升的攻击趋势,可提供细粒度的处置策略,保障重保及常态情境下业务与数据安全。

面对重保场景下资产数量庞大难管理、主动外联管控难精细以及内网横移风险高的现实痛点,企业如何化“被动防御”为“主动防御”?如何让不同的产品、业务场景与威胁情报有机结合,在应用中发挥最大价值,进而保障安全万无一失呢?

4月下旬开始,腾讯安全将推出《重保主题公开课》。4月21日19:00-21:00,第一场公开课——“威胁情报在重保场景下的实战价值”即将开播。来自腾讯安全的三位技术专家,将以“威胁情报在安全重保场景的最佳实践”为主题,分别从腾讯安全威胁情报、云防火墙、WAF的角度进行经验分享,并结合腾讯安全二十多年黑灰产对抗经验和威胁情报相关实践经验,为重保期间系统、有效地防护云上资产提出解决之道,进而增强企业业务风险的防御能力,使之更好地应对云原生时代下愈发严峻的网络安全困境。……

感兴趣的行业同仁可以关注腾讯安全视频号进行预约,共同探讨重保场景下安全防护工具在企业中的应用价值。也欢迎添加小助手进群,与威胁情报团队零距离提问交流。

image.png

腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码。

漏洞描述:

腾讯安全注意到,一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。

因该组件使用极为广泛,利用门槛很低,危害极大,腾讯安全专家建议所有用户尽快升级到安全版本。

漏洞编号:暂缺

漏洞等级:

高危,该漏洞影响范围极广,危害极大。

CVSS评分:10(最高级)

漏洞状态:

 

受影响的版本:

Apache log4j2 2.0 - 2.14.1 版本均受影响。

安全版本:

Apache log4j-2.15.0-rc1

漏洞复现与验证:

腾讯安全专家已第一时间对该漏洞进行复现验证

 漏洞修复方案:

Apache官方已发布补丁,腾讯安全专家建议受影响的用户尽快升级到安全版本。

补丁下载地址:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

漏洞缓解措施:

(1)jvm参数 -Dlog4j2.formatMsgNoLookups=true

(2)log4j2.formatMsgNoLookups=True

腾讯安全解决方案:

腾讯T-Sec Web应用防火墙(WAF)、腾讯T-Sec高级威胁检测系统(NDR、御界)、腾讯T-Sec云防火墙已支持检测拦截利用Log4j2 远程代码执行漏洞的攻击活动。

腾讯T-Sec主机安全(云镜)、腾讯容器安全服务(TCSS)已支持检测企业资产(主机、容器及镜像)是否存在Apache Log4j2远程代码执行漏洞。

自助处置手册:

1. 使用腾讯T-Sec云防火墙防御漏洞攻击

腾讯T-Sec云防火墙已新增虚拟补丁规则支持阻断利用Apache Log4j2远程代码执行漏洞的攻击,客户可以开通腾讯云防火墙高级版进行防御。

在腾讯云控制台界面,打开入侵防御设置即可,腾讯云防火墙的虚拟补丁机制可以有效抵御漏洞利用。

2. 使用腾讯T-Sec Web应用防火墙(WAF)防御漏洞攻击

登录腾讯云Web应用防火墙控制台,依次打开左侧“资产中心-域名列表”,添加域名并开启防护即可。步骤细节如下:

腾讯云Web应用防火墙控制台:资产中心->域名列表,点击添加域名:

SaaS类型域名接入,输入域名,配置端口,源站地址或者域名,点击确定即可,新增之后防护默认打开

负载均衡类型域名接入,输入域名,配置代理,负载均衡监听器,点击确定即可,新增之后防护默认打开

域名列表查看配置,防护开关、回源IP等接入情况,确认接入成功。

3.使用腾讯T-Sec主机安全(云镜)检测修复漏洞。

登录腾讯主机安全控制台,依次打开左侧“漏洞管理”,对扫描到的系统组件漏洞、web应用漏洞、应用漏洞进行排查。步骤细节如下:

主机安全(云镜)控制台:打开漏洞管理->系统漏洞管理,点击一键检测:

查看扫描到的Apache Log4j组件远程代码执行漏洞风险项目:

确认资产存在Apache Log4j组件远程代码执行漏洞风险:

升级Apache Log4j到安全版本

回到主机安全(云镜)控制台再次打开“漏洞管理”,重新检测确保资产不受Apache Log4j组件远程代码执行漏洞影响。

4. 使用腾讯T-Sec容器安全服务检测修复镜像漏洞

登陆腾讯容器安全服务控制台,依次打开左侧“镜像安全”,对本地镜像和仓库镜像进行排查。步骤细节如下:

1)容器安全服务控制台:打开本地镜像/仓库镜像-点击一键检测,批量选择Apache Log4j组件关联镜像,确认一键扫描:

2)扫描完毕,单击详情确认资产存在Apache Log4j组件远程代码执行漏洞风险

3)升级到pache Log4j到安全版本

4)回到容器安全服务控制台再次打开“镜像安全”,重新检测确保资产不受Apache Log4j组件远程代码执行漏洞影响。

腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码。

漏洞描述:

腾讯安全注意到,一个Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。

因该组件使用极为广泛,利用门槛很低,危害极大,腾讯安全专家建议所有用户尽快升级到安全版本。

漏洞编号:暂缺

漏洞等级:

高危,该漏洞影响范围极广,危害极大。

CVSS评分:10(最高级)

漏洞状态:

 

受影响的版本:

Apache log4j2 2.0 - 2.14.1 版本均受影响。

安全版本:

Apache log4j-2.15.0-rc1

漏洞复现与验证:

腾讯安全专家已第一时间对该漏洞进行复现验证

 漏洞修复方案:

Apache官方已发布补丁,腾讯安全专家建议受影响的用户尽快升级到安全版本。

补丁下载地址:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

漏洞缓解措施:

(1)jvm参数 -Dlog4j2.formatMsgNoLookups=true

(2)log4j2.formatMsgNoLookups=True

腾讯安全解决方案:

腾讯T-Sec Web应用防火墙(WAF)、腾讯T-Sec高级威胁检测系统(NDR、御界)、腾讯T-Sec云防火墙已支持检测拦截利用Log4j2 远程代码执行漏洞的攻击活动。

腾讯T-Sec主机安全(云镜)、腾讯容器安全服务(TCSS)已支持检测企业资产(主机、容器及镜像)是否存在Apache Log4j2远程代码执行漏洞。

自助处置手册:

1. 使用腾讯T-Sec云防火墙防御漏洞攻击

腾讯T-Sec云防火墙已新增虚拟补丁规则支持阻断利用Apache Log4j2远程代码执行漏洞的攻击,客户可以开通腾讯云防火墙高级版进行防御。

在腾讯云控制台界面,打开入侵防御设置即可,腾讯云防火墙的虚拟补丁机制可以有效抵御漏洞利用。

2. 使用腾讯T-Sec Web应用防火墙(WAF)防御漏洞攻击

登录腾讯云Web应用防火墙控制台,依次打开左侧“资产中心-域名列表”,添加域名并开启防护即可。步骤细节如下:

腾讯云Web应用防火墙控制台:资产中心->域名列表,点击添加域名:

SaaS类型域名接入,输入域名,配置端口,源站地址或者域名,点击确定即可,新增之后防护默认打开

负载均衡类型域名接入,输入域名,配置代理,负载均衡监听器,点击确定即可,新增之后防护默认打开

域名列表查看配置,防护开关、回源IP等接入情况,确认接入成功。

3.使用腾讯T-Sec主机安全(云镜)检测修复漏洞。

登录腾讯主机安全控制台,依次打开左侧“漏洞管理”,对扫描到的系统组件漏洞、web应用漏洞、应用漏洞进行排查。步骤细节如下:

主机安全(云镜)控制台:打开漏洞管理->系统漏洞管理,点击一键检测:

查看扫描到的Apache Log4j组件远程代码执行漏洞风险项目:

确认资产存在Apache Log4j组件远程代码执行漏洞风险:

升级Apache Log4j到安全版本

回到主机安全(云镜)控制台再次打开“漏洞管理”,重新检测确保资产不受Apache Log4j组件远程代码执行漏洞影响。

4. 使用腾讯T-Sec容器安全服务检测修复镜像漏洞

登陆腾讯容器安全服务控制台,依次打开左侧“镜像安全”,对本地镜像和仓库镜像进行排查。步骤细节如下:

1)容器安全服务控制台:打开本地镜像/仓库镜像-点击一键检测,批量选择Apache Log4j组件关联镜像,确认一键扫描:

2)扫描完毕,单击详情确认资产存在Apache Log4j组件远程代码执行漏洞风险

3)升级到pache Log4j到安全版本

4)回到容器安全服务控制台再次打开“镜像安全”,重新检测确保资产不受Apache Log4j组件远程代码执行漏洞影响。

2021年9月8日,微软官方发布风险通告,公开了一个有关Windows MSHTML 的远程代码执行漏洞。有攻击者试图通过使用特制的Office文档来利用此漏洞,该漏洞风险为高,腾讯安全已捕获在野利用样本,腾讯安全全系列产品已支持对该漏洞的恶意利用进行检测拦截,建议Windows用户警惕来历不明的文件,避免轻易打开可疑文档。

漏洞详情:

2021年9月8日,微软官方发布风险通告,公开了一个有关Windows MSHTML的远程代码执行漏洞。攻击者通过使用特制的Office文档来利用此漏洞,攻击者制作恶意 ActiveX控件,欺骗说服目标用户打开恶意文档。与使用管理用户权限操作的用户相比,帐户配置为在系统上拥有较少用户权限的用户受到的影响较小。

腾讯安全已捕获在野利用,并成功构造漏洞PoC(概念验证代码)验证成功。腾讯安全专家提醒用户小心处置来历不明的文档,Office默认设置“受保护的视图”可以减轻恶意文件风险,建议Windows用户密切关注该漏洞的进一步信息,及时安装安全补丁。

漏洞编号:

CVE-2021-40444

漏洞等级:

高风险,CVSS评分8.8

漏洞状态:

公开披露

POC

EXP

在野利用

已公开

已公开

已公开

已发现


受影响的版本:

漏洞影响包括Windows 7/8/8.1/10,Windows Server 2008/2012/2016/2019/2022等各个主流版本。

漏洞缓解措施:

漏洞暂无补丁,为0day状态。腾讯安全专家提醒用户小心处置来历不明的文档,Office默认设置“受保护的视图”可以减轻恶意文件风险。

默认情况下,Microsoft Office 在保护视图或打开来自 Internet 的文档警告,这两者都可以防止当前的攻击。

在 Internet Explorer 中禁用所有 ActiveX 控件的安装可以减轻这种攻击。可以通过更新注册表为所有站点完成。先前安装的 ActiveX 控件将继续运行,但不会暴露此漏洞。

可以通过编辑注册表禁用ActiveX 控件的安装:

将以下内容粘贴到文本文件中并使用 .reg 文件扩展名保存,然后双击导入注册表,重启系统后生效。

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1001"=dword:00000003

"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

"1001"=dword:00000003

"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

"1001"=dword:00000003

"1004"=dword:00000003

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

"1001"=dword:00000003

"1004"=dword:00000003

 

腾讯安全解决方案:

·  腾讯高级威胁检测系统(NTA,御界)规则库日期2021.9.9之后的版本已支持检测利用Windows MSHTML 远程代码执行漏洞(CVE-2021-40444)的攻击;

image.png

·  腾讯主机安全(云镜)漏洞库日期2021.9.9之后的版本已支持检测Windows MSHTML 远程代码执行漏洞风险;

·  腾讯零信任无边界访问控制系统(iOA)、腾讯电脑管家均已支持在终端系统检测拦截利用Windows MSHTML 远程代码执行漏洞的攻击。

image.png

腾讯iOA检测到漏洞攻击

 

image.pngimage.png

腾讯电脑管家拦截到漏洞攻击

时间线:

2021.9.7,微软官方发布风险通告;

2021.9.8,腾讯安全发布风险通告;

2021.9.9,漏洞POC、EXP及在野攻击样本均已出现。腾讯安全全系列产品支持对该漏洞的恶意利用进行检测拦截。

参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

2021年9月8日,微软官方发布风险通告,公开了一个有关Windows MSHTML 的远程代码执行漏洞。有攻击者试图通过使用特制的Office文档来利用此漏洞,该漏洞风险为高,腾讯安全已捕获在野利用样本,腾讯安全全系列产品已支持对该漏洞的恶意利用进行检测拦截,建议Windows用户警惕来历不明的文件,避免轻易打开可疑文档。

漏洞详情:

2021年9月8日,微软官方发布风险通告,公开了一个有关Windows MSHTML的远程代码执行漏洞。攻击者通过使用特制的Office文档来利用此漏洞,攻击者制作恶意 ActiveX控件,欺骗说服目标用户打开恶意文档。与使用管理用户权限操作的用户相比,帐户配置为在系统上拥有较少用户权限的用户受到的影响较小。

腾讯安全已捕获在野利用,并成功构造漏洞PoC(概念验证代码)验证成功。腾讯安全专家提醒用户小心处置来历不明的文档,Office默认设置“受保护的视图”可以减轻恶意文件风险,建议Windows用户密切关注该漏洞的进一步信息,及时安装安全补丁。

漏洞编号:

CVE-2021-40444

漏洞等级:

高风险,CVSS评分8.8

漏洞状态:

公开披露

POC

EXP

在野利用

已公开

已公开

已公开

已发现


受影响的版本:

漏洞影响包括Windows 7/8/8.1/10,Windows Server 2008/2012/2016/2019/2022等各个主流版本。

漏洞缓解措施:

漏洞暂无补丁,为0day状态。腾讯安全专家提醒用户小心处置来历不明的文档,Office默认设置“受保护的视图”可以减轻恶意文件风险。

默认情况下,Microsoft Office 在保护视图或打开来自 Internet 的文档警告,这两者都可以防止当前的攻击。

在 Internet Explorer 中禁用所有 ActiveX 控件的安装可以减轻这种攻击。可以通过更新注册表为所有站点完成。先前安装的 ActiveX 控件将继续运行,但不会暴露此漏洞。

可以通过编辑注册表禁用ActiveX 控件的安装:

将以下内容粘贴到文本文件中并使用 .reg 文件扩展名保存,然后双击导入注册表,重启系统后生效。

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]

"1001"=dword:00000003

"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]

"1001"=dword:00000003

"1004"=dword:00000003


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]

"1001"=dword:00000003

"1004"=dword:00000003

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]

"1001"=dword:00000003

"1004"=dword:00000003

 

腾讯安全解决方案:

·  腾讯高级威胁检测系统(NTA,御界)规则库日期2021.9.9之后的版本已支持检测利用Windows MSHTML 远程代码执行漏洞(CVE-2021-40444)的攻击;

image.png

·  腾讯主机安全(云镜)漏洞库日期2021.9.9之后的版本已支持检测Windows MSHTML 远程代码执行漏洞风险;

·  腾讯零信任无边界访问控制系统(iOA)、腾讯电脑管家均已支持在终端系统检测拦截利用Windows MSHTML 远程代码执行漏洞的攻击。

image.png

腾讯iOA检测到漏洞攻击

 

image.pngimage.png

腾讯电脑管家拦截到漏洞攻击

时间线:

2021.9.7,微软官方发布风险通告;

2021.9.8,腾讯安全发布风险通告;

2021.9.9,漏洞POC、EXP及在野攻击样本均已出现。腾讯安全全系列产品支持对该漏洞的恶意利用进行检测拦截。

参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444

万物互联的时代,数据作为一种生产要素,为数字经济发展注入了新的动能。数据要素在驱动经济发展之时,其安全性也成为了重要命题。

国家相继出台《密码法》、《商用密码应用安全性评估管理办法》等一系列法律法规,都对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范,密码测评作为密码合规的重要工作项受到各行业广泛关注。

为解决密评合规难题,腾讯安全推出一站式商用密码合规解决方案。方案依托合规密码服务中台架构,提供极简密码应用一体化服务,缩短开发周期;创新面应用改造数据库加密方案,降低整体开发成本。

目前方案已经支撑腾讯政务云、金融云、企业微信、WeCity、健康码等应用实践案例。

3a0000d9f59d19ba40a7e3edfd6bbb5d.jpg

万物互联的时代,数据作为一种生产要素,为数字经济发展注入了新的动能。数据要素在驱动经济发展之时,其安全性也成为了重要命题。

国家相继出台《密码法》、《商用密码应用安全性评估管理办法》等一系列法律法规,都对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范,密码测评作为密码合规的重要工作项受到各行业广泛关注。

为解决密评合规难题,腾讯安全推出一站式商用密码合规解决方案。方案依托合规密码服务中台架构,提供极简密码应用一体化服务,缩短开发周期;创新面应用改造数据库加密方案,降低整体开发成本。

目前方案已经支撑腾讯政务云、金融云、企业微信、WeCity、健康码等应用实践案例。

3a0000d9f59d19ba40a7e3edfd6bbb5d.jpg