微軟:Windows MSHTML漏洞已有勒索軟體開採
文/林妍溱 | 2021-09-17發表
在Windows MSHTML漏洞揭露有攻擊活動一個星期後,微軟昨(16)日指出,有跡象顯示歹
徒正在利用這項漏洞,發動勒索軟體攻擊。
微軟於9月7日公布編號CVE-2021-40444的Windows重大漏洞,警告已有開採活動,同時提供
關閉Active X控制項的緩解指示。隨後在本周二Patch Tuesday釋出安全更新解決這項漏洞
後,微軟威脅情報中心終於在昨天提供詳細分析。
8月份微軟偵測到數個(10個以下)攻擊行動,已經利用惡意Office文件,開採MSHTML引擎
中的CVE-2021-40444遠端程式碼執行漏洞,散布特製Cobalt Strike Beacon下載器(
loader)。微軟相信,這是駭客行動中早期存取的一部分,透過駭入受害者電腦,以便執
行後續行動。
攻擊者藉由傳送惡意Office文件誘使用戶開啟,而Office應用程式中的MSHTML/Trident網
頁引擎會開啟攻擊者控制的惡意網頁。網頁中的Active X控制項會下載惡意程式到用戶電
腦。
微軟指出,這些下載器或Beacon連接的網路基礎架構和多個犯罪活動有關,包括一個人為
操作的勒索軟體。微軟推測這個是一個犯罪服務(C&C infrastructure as a service),
可用於散布Conti勒索軟體。此外,另一些下載器則用以散布殭屍網路程式TrickBot或木馬
程式BazaLoader,微軟判斷它和安全廠商Mandiant稱之為UNC 1878或Wizard Spider(
Trickbot製作者)有關。微軟判斷利用Cobalt Strike Beacon形成的網路至少有3波不同攻
擊行動,其中至少一間企業前後遭到2波不同攻擊。
而在微軟9月7日公布CVE-2021-40444安全公告後,當時便有安全研究人員觀察到,陸續有
概念驗證(PoC)攻擊工具公布於網路上。CC/CERT研究員Will Dormann還發現某個PoC工具
經過修改,也能在關閉Active X的裝置上執行程式。
微軟指出,他們觀察到在24小時內,多個駭客組織,包括勒索軟體即服務(ransomware as
a service)網路已經將公開的PoC程式碼加入其工具組中。
微軟證實,關閉Office應用程式執行子行程(child process),可防堵開採CVE-2021-
40444。
但是微軟還是呼籲使用者安裝9月分的Patch Tuesday安全更新,以防止攻擊者後續行動,
也建議用戶執行最新版作業系統(最好是Windows 10),並開啟自動更新功能,以獲取最
新版安全修補程式。其他建議包括啟動防毒、端點防護,並且使用裝置管理產品以發現內
部網路中未列管的裝置等。
https://www.ithome.com.tw/news/146764