微软：Windows MSHTML漏洞已有勒索软件开采

在Windows MSHTML漏洞揭露有攻击活动一个星期后，微软昨（16）日指出，有迹象显示歹徒正在利用这项漏洞，发动勒索软件攻击。

微软于9月7日公布编号CVE-2021-40444的Windows重大漏洞，警告已有开采活动，同时提供关闭Active X控件的缓解指示。随后在本周二Patch Tuesday释出安全更新解决这项漏洞后，微软威胁情报中心终于在昨天提供详细分析。

8月份微软侦测到数个（10个以下）攻击行动，已经利用恶意Office文件，开采MSHTML引擎中的CVE-2021-40444远端程式码执行漏洞，散布特制Cobalt Strike Beacon下载器（loader）。微软相信，这是骇客行动中早期存取的一部分，透过骇入受害者电脑，以便执行后续行动。

攻击者借由传送恶意Office文件诱使用户开启，而Office应用程序中的MSHTML/Trident网页引擎会开启攻击者控制的恶意网页。网页中的Active X控件会下载恶意程式到用户电脑。

微软指出，这些下载器或Beacon连接的网络基础架构和多个犯罪活动有关，包括一个人为操作的勒索软件。微软推测这个是一个犯罪服务（C&C infrastructure as a service），可用于散布Conti勒索软件。此外，另一些下载器则用以散布僵尸网络程式TrickBot或木马程式BazaLoader，微软判断它和安全厂商Mandiant称之为UNC 1878或Wizard Spider（Trickbot制作者）有关。微软判断利用Cobalt Strike Beacon形成的网络至少有3波不同攻击行动，其中至少一间企业前后遭到2波不同攻击。

而在微软9月7日公布CVE-2021-40444安全公告后，当时便有安全研究人员观察到，陆续有概念验证（PoC）攻击工具公布于网络上。CC/CERT研究员Will Dormann还发现某个PoC工具经过修改，也能在关闭Active X的装置上执行程式。

微软指出，他们观察到在24小时内，多个骇客组织，包括勒索软件即服务（ransomware as a service）网络已经将公开的PoC程式码加入其工具组中。

微软证实，关闭Office应用程序执行子行程（child process），可防堵开采CVE-2021-40444。

但是微软还是呼吁使用者安装9月分的Patch Tuesday安全更新，以防止攻击者后续行动，也建议用户执行最新版操作系统（最好是Windows 10），并开启自动更新功能，以获取最新版安全修补程式。其他建议包括启动防毒、端点防护，并且使用装置管理产品以发现内部网络中未列管的装置等。