吳明宜微軟公佈 Office 一個尚未修補的漏洞,一旦被濫用,可導致敏感資訊外流給攻擊者。
該漏洞被列為 CVE-2024-38200(CVSS 風險值:7.5),屬於欺騙攻擊漏洞,影響多項 Office 版本包括:Office 2016 、 2019 32-bit 與 64-bit 版、 Office LTSC 2021 32-bit 與 64-bit 版,以及 Microsoft 365 for Enterprise 32-bit 與 64-bit Systems 。
該漏洞是由外部研究人員 PrivSec Consulting 的 Jim Rush 及獨立研究人員 Metin Yunus Kandemir 發現與通報。
微軟說明,在 Web 攻擊情境中,攻擊者可設立包含惡意檔案的網站或駭入無辜網站注入惡意檔案,以便植入訪客電腦。但攻擊者無法迫使用戶造訪,而是必須誘騙他們點擊連結,一般是詐騙信件或訊息,再說服其開啟惡意檔案。微軟將風險列為「濫用可能性低」。
CVE-2024-38200 正式修補程式預計會在 8 月 13 日的 Patch Tuesday 安全更新釋出,但微軟說,7 月 30 日釋出的功能更新 Feature Flighting 中,已經提供另一個可保護 Office 和 Microsoft 365 用戶的修補檔案。但微軟說,用戶還是應該在本周儘快更新到正式版更新軟體,取得最後版本修補程式。
在正式更新到來前,微軟建議用戶配置安全政策「Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers」,以封鎖或檢查從 Windows 7 、 Server 2008 傳送 NTLM 訊息到外部 Windows 伺服器。其次可將用戶加入受保護用戶 (Protected Users) 安全群組,防範使用 NTLM 驗證。最後,應利用周界或本機防火牆、 VPN 設定,封鎖 TCP 445/SMB 對外連線,防止 NTLM 驗證訊息傳給外部檔案共享主機。
微軟上周同時預告,正在製作二個零時差攻擊漏洞,包括 CVE-2024-38202 及 CVE-2024-21302 的修補程式,這二漏洞可能讓已修補完全的 Windows 被降級攻擊 (downgrade attack),重現舊漏洞。
另外,安全業者 Elastic Security Labs 最近還公佈數種手法,包括修改.lnk 檔目標路徑的方法,讓駭客可在不觸發 Windows Smart App Control 及 SmartScreen 警告(即 MotW, Mark of the Web)情況下,在 Windows 機器上執行惡意程式。