Windows RCE漏洞已有锁定Office用户的攻击，微软紧急提供缓解指示

微软周二紧急公告Windows中一个远端程式码执行（RCE）漏洞已经有攻击活动，Office用户可能因开启恶意文件中标。由于目前尚无修补程式，微软紧急提供缓解方法。

编号CVE-2021-40444的漏洞，位于Windows内微软浏览器引擎MSHTML，它用于早期微软浏览器如IE（internet explorer）或旧版Edge，但也用于微软Office中。攻击者可撰写内含恶意ActiveX控制的Office文件，由Office程式开启来触发。攻击者必须诱使用户开启Office文件，但一旦成功，就可能在用户电脑上执行任意程式码，甚至接管整台系统。

CVE-2021-40444风险值达8.8。本漏洞并非权限升级类型，因此低权限用户安全风险会小于管理员账号用户。

这项漏洞分别由EXPMON研究人员Haifei Li、Mandiant研究人员 Dhanesh Kizhakkinan、Bryce Abdo及Genwei Jiang ，以及微软安全情报中心研究人员Rick Cole发现。

网络上已经有针对本漏洞的攻击活动。EXPMON侦测到锁定Office用户的进阶零时差攻击，该公司已在目前最常见的Windows 10版Office 2019及365产品上复制出攻击。

微软表示细节仍在调查中，意谓著尚未有修补程式。目前已知受影响的Windows版本包括Windows 7、8.1、Windows 10（涵括1607、1809到20H2）、Server 2008、2012、2016。

BleepingComputer引述EXPMON研究人员Haifei Li指出，攻击者传送的是.docx档，用户开启后，Word即载入浏览器引擎、开启攻击者控制的远端恶意网页，同时启用ActiveX控制下载恶意Cpl档。

但微软指出，Office预设开启来自网络上的文件时，都会启用“保护模式”或沙箱保护Application Guard for Office，两者都能防范攻击。但如果用户关闭保护模式来启用文件就会受害。

此外，微软的Defender Antivirus及Defender for Endpoint也可侦测到。升级到1.349.22.0以后定义档的Defender for Endpoint，会显示“可疑的Cpl档案执行”警告。

关闭IE环境下安装ActiveX可减缓攻击。使用者可经由登录编辑程式变更登录档以关闭ActiveX。但微软也警告，执行不正确不但无法排除风险，还可能引发严重问题，而导致电脑必须重灌Windows。

微软、CISA及研究人员呼吁，一般使用者不要开启来路不明的Office文件。