APP下载

研究人员:Windows最新MSHTML漏洞比想像中危险

消息来源:baojiabao.com 作者: 发布时间:2024-11-29

报价宝综合消息研究人员:Windows最新MSHTML漏洞比想像中危险

情境示意图,图片来源/微软

微软周二(9/8)公告一个可趁用户误开Office文件后骇入PC的Windows零时差漏洞,尽管微软宣称其产品内建保护,但研究人员认为这个漏洞对用户造成的威胁,比想像中来得高。

最新编号CVE-2021-40444的漏洞,位于Windows内的旧式浏览器引擎MSHTML。攻击者可传送恶意Office文件,触发Office程式开启并连上内含恶 意ActiveX控件的网站,进而下载恶意程式到PC,这可让骇客执行任意程式码,甚至接管整台电脑。

微软还未释出安全更新来修补这漏洞,但微软表示,Office预设开启来自网络上的文件时,会启用“安全检视”(Protected View),以及沙箱技术Application Guard for Office,两者都能防范攻击。这项技术原理是Windows Defender会在开启Office文件前,检视是否有MoTW(Mark of the Web)的标签,这标签意谓是来自互联网。若文件带有这标签,Defender SmartScreen就会以安全检视开启。

此外,关闭IE环境下安装ActiveX可减缓攻击。使用者可经由登录编辑程式变更登录档以关闭ActiveX。

但是研究人员认为骇客有许多方法可以绕过这些防护。首先,许多使用者并不理会Office的警告讯息,会径自关掉安全检视来读取文件。此外,根据MITRE数据库,将恶意文件包含在容器档案格式,像是压缩档(.arj、.gzip)或磁盘映像档(.iso、.vhd)等中,即使没有MoTW标签,也能偷渡下载到电脑上开启,因为这时档案会被视为本机档案。

针对ActiveX,安全专家包括CERT/CC研究员Will Dormann已测试出在启用ActiveX缓解措施的PC上,依然能开启Office文件执行恶意程式的方法。研究人员指出,这类攻击比恶意宏还危险,连关闭或限制宏的电脑都还是可能曝险。

虽然微软指出尚未有针对此漏洞的攻击活动,但资安研究人员Kevin Beaumont认为,此类开采漏洞的活动至少已经一个月。他观察到有些恶意网域和Bazarloader及一个勒索软件背后的APT组织重叠,显示骇客已经开始大量发送垃圾邮件。

研究人员目前观测到的恶意档案,还局限在Office文件,包括RTF文件形式。

微软可能会在9月14日,透过9月份Patch Tuesday修补这项漏洞。

2021-09-13 11:48:00

相关文章