Skip to main content

Microsoft MSHTML Remote Code Execution Vulnerability

 Microsoft MSHTML Remote Code Execution Vulnerability  (CVE-2021-40444)

 

Released Sep 7 , 2021

 

Microsoft is investigating reports of a remote code execution vulnerability in MSHTML that affects Microsoft Windows. Microsoft is aware of targeted attacks that attempt to exploit this vulnerability by using specially-crafted Microsoft Office documents.

An attacker could craft a malicious ActiveX control to be used by a Microsoft Office document that hosts the browser rendering engine. The attacker would then have to convince the user to open the malicious document. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

A vulnerability has been identified in Microsoft Windows, a remote user can exploit this vulnerability to trigger remote code execution on the targeted system.

According to the company, this vulnerability has already been used in targeted attacks against Microsoft Office users. In attempt to exploit this vulnerability, attackers create a document with a specially-crafted object. If a user opens the document, MS Office will download and execute a malicious script.



 

 

reference: microsoft,securelist

 

Comments

Post a Comment

Popular posts from this blog

Network Pentesting (Part 3)

  Footprinting or Reconnaissance Information Gathering     ဆိုတာ Cyber Security မှာရော၊ Bug Bounty မှာရော၊ Hacking ပိုင်းမှာရော ပထမဆုံး အခြေခံအကျဆုံး အချက်နဲ့ အရေးကြီးဆုံး အဆင့်ထဲမှာ အပါအ၀င်ဖြစ်ပါတယ်။ ဘာဖြစ်လို့ အရေးကြီးဆုံးလို့ပြောရတာလဲ ရှင်းပြပါမယ်။ ကျွန်တော်တို့တွေ ကောင်မ‌လေးတစ်ယောက်ကို ချစ်မိတယ် ကြိုက်မိတယ်ထားပါစို့။ ဒါဆိုရင် ပထမဆုံး အဆင့်အနေနဲ့ ကျွန်တော်တို့ ဘာလုပ်ကြလဲ?  အဲ့ကောင်မလေးရဲ့ FB acc ကို အရင်စုံစမ်းတယ်။ ( Report ထုဖို့မဟုတ်ဖူးနော် :3) အဲ့ကောင်မ‌လေးက သူ့ fb မှာ ဘာတွေ တင်တက်လဲ စုံစမ်းတယ်။ သူဘာတွေ Share လဲ စောင့်ကြည့်တယ်။ သူ Myday တင်တာနဲ့ ချက်ချင်း ၀င်ကြည့်တယ်။ ကဲ fb  acc သိတာနဲ့ ကျွန်‌တော်တို့ စုံစမ်းတာကို ရပ်လိုက်ကြလား? မရပ်သေးဘူး။ သူဘယ်မှာနေတာလဲ စုံစမ်းတယ်။ သူ့ရဲ့ ဖုန်းနံပါတ်ကို သိရအောင် လိုက်စုံစမ်းတယ်။ သူဘာမုန့်တွေ ကြိုက်တက်လဲ၊ ဘယ်လိုမျိုးတွေ ၀တ်တက်လဲ စသဖြင့်ပေါ့ဗျာ အများကြီးရှိပါသေးတယ်။ နောက်ဆုံး ကျွန်တော်တို့ သိချင်တာတွေ လုံလောက်တဲ့အခါမှ အဲ့ဒီကောင်မလေးကို စပြီး ရည်းစားစကားပြောပါတယ်။ ဘယ်သူမှတော့ ကောင်မလေးတစ်ယောက်ကို မြင်မြင်ချင်းရည်းစားစ...
1 comment
Read more

Network Pentesting ( Part 2 )

  ကျွန်တော်တို့တွေ မနေ့က Network Pentest လုပ်တာဘာကိုပြောတာလဲဆိုတာလေးကို အကြမ်းမျဥ်းလောက်သိပြီးသွားပြီဆိုတော့ ဒီနေ့ Pentest လုပ်တဲ့ Methods တွေဘက်ကိုသွားပါမယ်။ မနေ့က Post မှာလည်းပြောပြထားပါတယ်။ ကျွန်တော်တို့ Information Security ရဲ့ Concept တွေက အရမ်းကျယ်ပြန့်ပြီးတော့ လေ့လာရင် လေ့လာသလောက် ရှာဖွေလေ တွေ့ရှိလေ ဖြစ်ပါတယ်။ ဒါကြောင့် ကျွန်တော်တို့က အခုမှ စလေ့လာကြမှာဆိုတော့ တွေ့ရာ Tutorials တွေ ကြည့်ပြီး လေ့လာမယ်ဆိုရင် အချိန်လည်း ကုန်သလို ဘာမှလည်း ထိထိရောက်ရောက် တက်မှာမဟုတ်ပါဘူး။ ဒါကြောင့် ကျွန်တော်တို့တွေ သူ့ရဲ့ Concept အလိုက် တစ်ဆင့်ချင်းစီ လေ့လာကြမယ်။ Ehical Hacking မှာက အဆင့် ၆ ဆင့်ရှိပါတယ်။ အခု ခေါင်းစဥ်နဲ့တော့ ဘာမှမဆိုင်ပေမဲ့ နားလည်သ‌ဘောပေါက်အောင် ရေးပြပေးလိုက်ပါတယ်။ Reconnaissance (or ) OSINT Scanning Exploiting ( Enumeration ) Gaining Access Maintaining access Clearing Tracks     Hacker တစ်ယောက် ဒါမှမဟုတ် Pentester တစ်ယောက်က Network တစ်ခုကို Pentest လုပ်တော့မယ်ဆိုရင် အရင်ဦးဆုံး အဲ့ဒီ Network ရဲ့ Information တွေကို Check လုပ်ပါတယ်။ ပြီးရင် Port တွေကို စစ်တယ်။ စသဖြင့် အ...
Post a Comment
Read more

Network Pentesting ( Part 1 )

  Network  Penetration Testing ဆိုတာက တိုတိုနဲ့ လိုရင်းရောက်အောင် ပြောရမယ်ဆိုရင် ကိုယ့်ရဲ့ Network အတွင်းမှာ ဘယ်နေရာအတွင်းမှာ လစ်ဟာမှုတွေရှိနေလဲ ၊ ဘယ်နေရာတွေကတော့ Version တွေ Out of Date ဖြစ်နေလဲ ၊ ကိုယ်မသိပဲနဲ့ ဘယ် Port တွေများ ပွင့်နေလဲ စသဖြင့် ကိုယ့်ရဲ့ Network ကို စစ်ဆေးခြင်းဖြစ်ပါတယ်။ မျက်စိထဲမြင်သာအောင် ပြောရမယ်ဆိုရင် ကျွန်တော့်မှာ အရမ်းကြီးတဲ့ အိမ်ကြီးတစ်လုံးရှိတယ်ဆိုပါစို့။ အခန်းတွေလည်း အများကြီး ဖွဲ့ ထားတယ်ဗျာ။ ပါကေးတွေ ၊ မီးစိုင်းတွေ စတာတွေနဲ့ ကျွန်တော့်ရဲ့ အိမ်ကို လူတိုင်းအားကျအောင် ကျွန်တော်က လုပ်ထားတယ်။ ဒါပေမဲ့ကျွန်တော့်ရဲ့ အိမ်က အထဲမှာကျ ရှယ် လုပ်ထားပြီးအိမ်တံခါးကပျက်နေတယ်ဆိုရင်အဲ့ဒီ အိမ်ကိုလုံခြုံမှု ရှိတယ်လို့ ပြောလို့မရတော့ဖူး။ အချိန်မ‌ရွေး အဲ့ဒီအိမ်က ဖောက်ထွင်းခံရနှိုင်ပါတယ်။ ဒီလောက်ဆို မျက်စိထဲမြင်လောက်ပီထင်တယ်။   Network Pentest  လုပ်မယ်ဆိုရင် ကိုယ့် Network ရဲ့ အားသာချက် အားနည်းချက်တွေကိုလည်း သိနိုင်တဲ့အပြင် အဲ့ဒီ အားနည်းချက်ရှိနေတဲ့ Services တွေကိုလည်း Solve လုပ်လို့လည်းရပါတယ်။ မီးလောင်မှ ရေတွေဖြန်း၊ မီးသတ်ကားတွေခေါ်တာက အကောင်းဆုံးဖြေရှင်းန...
Post a Comment
Read more