吳明宜快提高警覺!尚未修補的 Windows 漏洞可讓使用者的電腦被駭客全面接管
微軟昨日發出安全公告,警告一個尚未有修補程式的 Windows 高風險漏洞可讓誤開啟惡意文件或上惡意網站的用戶 PC 被執行惡意程式,甚至接管整台系統。
根據微軟的安全公告,編號 CVE-2021-40444 的漏洞影響 Windows 7、8.1 和 Windows 10 以及 Windows 2008、2012、2016 的瀏覽器引擎 MSHTML。MSHTML 是 IE 的核心算圖引擎 (rendering engine),雖然已經沒什麼人用,但 Office 文件仍然用它來開啟網頁。
利用這項漏洞,攻擊者可以建立惡意 ActiveX 控制。攻擊者可傳送惡意文件引誘使用者開啟,由該文件啟動展圖引擎時使用這個 ActiveX。後者便會從攻擊者控制的網站下載惡意程式。具管理權限的使用者會比權限小的使用者受到更大影響。
根據美國網路安全暨基礎架構管理署 (CISA) 的安全公告,CVE-2021-40444 一旦被開採成功,可讓攻擊者在受害 PC 上遠端執行任意程式碼,甚至接管整台機器。
微軟還未能釋出 CVE-2021-40444 的修補程式,但表示使用者可以關閉 IE 中的 ActiveX 控制來緩解攻擊。此外,Office 預設開啟網路傳上的文件時會啟用「保護模式」,以及沙箱功能 Application Guard for Office 能防範攻擊,且更升到 1.349.22.0 以後版本定義檔的 Microsoft Defender for Endpoint 也會發出異常顯示。
微軟警告,目前漏洞已經被用以發動精準攻擊。EXPMON、Mandiant 及微軟安全情報中心的研究人員分別偵測到惡意活動。其中 EXPMON 偵測到攻擊者向目標用戶傳送.docx 文件,用戶開啟文件就會促使 Word 開啟網頁、觸發 ActiveX 從網站下載惡意檔案。
EXPMON 已經在 Windows 10 版 Office 2019 及 Office 365 複製出攻擊。研究人員並指出,這場攻擊使用邏輯漏洞,可說是相當穩定(而危險)。
Windows 使用者可能最快在下周二 (9/14),即 9 月份 Patch Tuesday 預定日接到修補程式。在此之前,安全廠商及微軟呼籲用戶不要開啟未信任來源的檔案。
現有 Microsoft Edge 的核心引擎已經換成了 Chromium。微軟也在 8 月宣佈 Office 365 應用不再支援 IE11,但是仍然有許多企業開發的網站需要跑在 IE 上。為此微軟也鼓勵他們使用 Chromium-based Edge 中的 IE 模式。
今年以來,微軟產品已經傳出多個零時差攻擊漏洞,即沒有修補程式卻已經有攻擊程式的漏洞。像是 Exchange Server 三月傳出的 ProxyLogon,即遭到中國駭客 Hafnium 的攻擊,危及 40 萬企業及政府單位,迫使微軟釋出例外安全更新來修補。