吳明宜微軟昨日發出安全公告,警告一個尚未有修補程式的 Windows 高風險漏洞可讓誤開啟惡意文件或上惡意網站的用戶 PC 被執行惡意程式,甚至接管整台系統。
根據微軟的安全公告,編號 CVE-2021-40444 的漏洞影響 Windows 7 、 8.1 和 Windows 10 以及 Windows 2008 、 2012 、 2016 的瀏覽器引擎 MSHTML 。 MSHTML 是 IE 的核心算圖引擎 (rendering engine),雖然已經沒什麼人用,但 Office 文件仍然用它來開啟網頁。
利用這項漏洞,攻擊者可以建立惡意 ActiveX 控制。攻擊者可傳送惡意文件引誘使用者開啟,由該文件啟動展圖引擎時使用這個 ActiveX 。後者便會從攻擊者控制的網站下載惡意程式。具管理權限的使用者會比權限小的使用者受到更大影響。
根據美國網路安全暨基礎架構管理署 (CISA) 的安全公告,CVE-2021-40444 一旦被開採成功,可讓攻擊者在受害 PC 上遠端執行任意程式碼,甚至接管整台機器。
微軟還未能釋出 CVE-2021-40444 的修補程式,但表示使用者可以關閉 IE 中的 ActiveX 控制來緩解攻擊。此外,Office 預設開啟網路傳上的文件時會啟用「保護模式」,以及沙箱功能 Application Guard for Office 能防範攻擊,且更升到 1.349.22.0 以後版本定義檔的 Microsoft Defender for Endpoint 也會發出異常顯示。
微軟警告,目前漏洞已經被用以發動精準攻擊。 EXPMON 、 Mandiant 及微軟安全情報中心的研究人員分別偵測到惡意活動。其中 EXPMON 偵測到攻擊者向目標用戶傳送.docx 文件,用戶開啟文件就會促使 Word 開啟網頁、觸發 ActiveX 從網站下載惡意檔案。
EXPMON 已經在 Windows 10 版 Office 2019 及 Office 365 複製出攻擊。研究人員並指出,這場攻擊使用邏輯漏洞,可說是相當穩定(而危險)。
Windows 使用者可能最快在下周二 (9/14),即 9 月份 Patch Tuesday 預定日接到修補程式。在此之前,安全廠商及微軟呼籲用戶不要開啟未信任來源的檔案。
現有 Microsoft Edge 的核心引擎已經換成了 Chromium 。微軟也在 8 月宣佈 Office 365 應用不再支援 IE11,但是仍然有許多企業開發的網站需要跑在 IE 上。為此微軟也鼓勵他們使用 Chromium-based Edge 中的 IE 模式。
今年以來,微軟產品已經傳出多個零時差攻擊漏洞,即沒有修補程式卻已經有攻擊程式的漏洞。像是 Exchange Server 三月傳出的 ProxyLogon,即遭到中國駭客 Hafnium 的攻擊,危及 40 萬企業及政府單位,迫使微軟釋出例外安全更新來修補。