|
2021年9月8号,微软发布一个公告,有一个可趁用户误开Office文件后骇入PC的Windows零时差漏洞,尽管微软宣称其产品内建保护,但研究人员认为这个漏洞对用户造成的威胁,比想象中来得高。
最新编号CVE-2021-40444的漏洞,位于Windows内的旧式浏览器引擎MSHTML。攻击者可传送恶意Office文件,触发Office程序开启并连上内含恶 意ActiveX控件的网站,进而下载恶意软件到PC,这可让黑客执行任意程序代码,甚至接管整台电脑。
微软还未释出安全更新来修补这漏洞,但微软表示,Office默认开启来自网络上的文件时,会启用「安全检视」(Protected View),以及沙盒技术Application Guard for Office,两者都能防范攻击。这项技术原理是Windows Defender会在开启Office文件前,检视是否有MoTW(Mark of the Web)的卷标,这卷标意谓是来自因特网。若文件带有这标签,Defender SmartScreen就会以安全检视开启。
此外,关闭IE环境下安装ActiveX可减缓攻击。使用者可经由注册表编辑器变更登录档以关闭ActiveX。
但是研究人员认为黑客有许多方法可以绕过这些防护。
首先,许多用户并不理会Office的警告讯息,会直接关掉安全检视来读取文件。此外,根据MITRE数据库,将恶意文件包含在容器文件格式,像是压缩文件(.arj、.gzip)或磁盘映像文件(.iso、.vhd)等中,即使没有MoTW标签,也能偷渡下载到计算机上开启,因为这时档案会被视为本机档案。
针对ActiveX,安全专家包括CERT/CC研究员已测试出在启用ActiveX缓解措施的PC上,依然能开启Office文件执行恶意软件的方法。研究人员指出,这类攻击比恶意宏还危险,连关闭或限制宏的计算机都还是可能曝险。
虽然微软指出尚未有针对此漏洞的攻击活动,但资安研究人员认为,此类开采漏洞的活动至少已经一个月。研究人员观察到有些恶意网域和Bazarloader及一个勒索软件背后的APT组织重迭,显示黑客已经开始大量发送垃圾邮件。
研究人员目前观测到的恶意档案,还局限在Office文件,包括RTF文件形式。这项漏洞只要客户端不慎开启恶意Office文件就会触发攻击。
?
|