吳明宜快提高警覺!尚未修補的Windows漏洞可讓使用者的電腦被駭客全面接管
微軟昨日發出安全公告,警告一個尚未有修補程式的Windows高風險漏洞可讓誤開啟惡意文件或上惡意網站的用戶PC被執行惡意程式,甚至接管整台系統。
根據微軟的安全公告,編號CVE-2021-40444的漏洞影響Windows 7、8.1和Windows 10以及Windows 2008、2012、2016的瀏覽器引擎MSHTML。MSHTML是IE的核心算圖引擎(rendering engine),雖然已經沒什麼人用,但Office文件仍然用它來開啟網頁。
利用這項漏洞,攻擊者可以建立惡意ActiveX控制。攻擊者可傳送惡意文件引誘使用者開啟,由該文件啟動展圖引擎時使用這個ActiveX。後者便會從攻擊者控制的網站下載惡意程式。具管理權限的使用者會比權限小的使用者受到更大影響。
根據美國網路安全暨基礎架構管理署(CISA)的安全公告,CVE-2021-40444一旦被開採成功,可讓攻擊者在受害PC上遠端執行任意程式碼,甚至接管整台機器。
微軟還未能釋出CVE-2021-40444的修補程式,但表示使用者可以關閉IE中的ActiveX控制來緩解攻擊。此外,Office預設開啟網路傳上的文件時會啟用「保護模式」,以及沙箱功能Application Guard for Office能防範攻擊,且更升到1.349.22.0以後版本定義檔的Microsoft Defender for Endpoint也會發出異常顯示。
微軟警告,目前漏洞已經被用以發動精準攻擊。EXPMON、Mandiant及微軟安全情報中心的研究人員分別偵測到惡意活動。其中EXPMON偵測到攻擊者向目標用戶傳送.docx文件,用戶開啟文件就會促使Word開啟網頁、觸發ActiveX從網站下載惡意檔案。
EXPMON已經在Windows 10版Office 2019及Office 365複製出攻擊。研究人員並指出,這場攻擊使用邏輯漏洞,可說是相當穩定(而危險)。
Windows 使用者可能最快在下周二(9/14),即9月份Patch Tuesday預定日接到修補程式。在此之前,安全廠商及微軟呼籲用戶不要開啟未信任來源的檔案。
現有Microsoft Edge的核心引擎已經換成了Chromium。微軟也在8月宣佈Office 365應用不再支援IE11,但是仍然有許多企業開發的網站需要跑在IE上。為此微軟也鼓勵他們使用Chromium-based Edge中的IE模式。
今年以來,微軟產品已經傳出多個零時差攻擊漏洞,即沒有修補程式卻已經有攻擊程式的漏洞。像是Exchange Server三月傳出的ProxyLogon,即遭到中國駭客Hafnium的攻擊,危及40萬企業及政府單位,迫使微軟釋出例外安全更新來修補。