研究人员：Windows最新MSHTML漏洞比想像中危险

微软周二（9/8）公告一个可趁用户误开Office文件后骇入PC的Windows零时差漏洞，尽管微软宣称其产品内建保护，但研究人员认为这个漏洞对用户造成的威胁，比想像中来得高。

最新编号CVE-2021-40444的漏洞，位于Windows内的旧式浏览器引擎MSHTML。攻击者可传送恶意Office文件，触发Office程式开启并连上内含恶　意ActiveX控件的网站，进而下载恶意程式到PC，这可让骇客执行任意程式码，甚至接管整台电脑。

微软还未释出安全更新来修补这漏洞，但微软表示，Office预设开启来自网络上的文件时，会启用“安全检视”（Protected View），以及沙箱技术Application Guard for Office，两者都能防范攻击。这项技术原理是Windows Defender会在开启Office文件前，检视是否有MoTW（Mark of the Web）的标签，这标签意谓是来自互联网。若文件带有这标签，Defender SmartScreen就会以安全检视开启。

此外，关闭IE环境下安装ActiveX可减缓攻击。使用者可经由登录编辑程式变更登录档以关闭ActiveX。

但是研究人员认为骇客有许多方法可以绕过这些防护。首先，许多使用者并不理会Office的警告讯息，会径自关掉安全检视来读取文件。此外，根据MITRE数据库，将恶意文件包含在容器档案格式，像是压缩档（.arj、.gzip）或磁盘映像档（.iso、.vhd）等中，即使没有MoTW标签，也能偷渡下载到电脑上开启，因为这时档案会被视为本机档案。

针对ActiveX，安全专家包括CERT/CC研究员Will Dormann已测试出在启用ActiveX缓解措施的PC上，依然能开启Office文件执行恶意程式的方法。研究人员指出，这类攻击比恶意宏还危险，连关闭或限制宏的电脑都还是可能曝险。

虽然微软指出尚未有针对此漏洞的攻击活动，但资安研究人员Kevin Beaumont认为，此类开采漏洞的活动至少已经一个月。他观察到有些恶意网域和Bazarloader及一个勒索软件背后的APT组织重叠，显示骇客已经开始大量发送垃圾邮件。

研究人员目前观测到的恶意档案，还局限在Office文件，包括RTF文件形式。

微软可能会在9月14日，透过9月份Patch Tuesday修补这项漏洞。