微软:Windows MSHTML漏洞已有勒索软件开采
文/林妍溱 | 2021-09-17发表
在Windows MSHTML漏洞揭露有攻击活动一个星期后,微软昨(16)日指出,有迹象显示歹
徒正在利用这项漏洞,发动勒索软件攻击。
微软于9月7日公布编号CVE-2021-40444的Windows重大漏洞,警告已有开采活动,同时提供
关闭Active X控件的缓解指示。随后在本周二Patch Tuesday释出安全更新解决这项漏洞
后,微软威胁情报中心终于在昨天提供详细分析。
8月份微软侦测到数个(10个以下)攻击行动,已经利用恶意Office文件,开采MSHTML引擎
中的CVE-2021-40444远端程式码执行漏洞,散布特制Cobalt Strike Beacon下载器(
loader)。微软相信,这是骇客行动中早期存取的一部分,透过骇入受害者电脑,以便执
行后续行动。
攻击者借由传送恶意Office文件诱使用户开启,而Office应用程式中的MSHTML/Trident网
页引擎会开启攻击者控制的恶意网页。网页中的Active X控件会下载恶意程式到用户电
脑。
微软指出,这些下载器或Beacon连接的网络基础架构和多个犯罪活动有关,包括一个人为
操作的勒索软件。微软推测这个是一个犯罪服务(C&C infrastructure as a service),
可用于散布Conti勒索软件。此外,另一些下载器则用以散布僵尸网络程式TrickBot或木马
程式BazaLoader,微软判断它和安全厂商Mandiant称之为UNC 1878或Wizard Spider(
Trickbot制作者)有关。微软判断利用Cobalt Strike Beacon形成的网络至少有3波不同攻
击行动,其中至少一间企业前后遭到2波不同攻击。
而在微软9月7日公布CVE-2021-40444安全公告后,当时便有安全研究人员观察到,陆续有
概念验证(PoC)攻击工具公布于网络上。CC/CERT研究员Will Dormann还发现某个PoC工具
经过修改,也能在关闭Active X的装置上执行程式。
微软指出,他们观察到在24小时内,多个骇客组织,包括勒索软件即服务(ransomware as
a service)网络已经将公开的PoC程式码加入其工具组中。
微软证实,关闭Office应用程式执行子行程(child process),可防堵开采CVE-2021-
40444。
但是微软还是呼吁使用者安装9月分的Patch Tuesday安全更新,以防止攻击者后续行动,
也建议用户执行最新版作业系统(最好是Windows 10),并开启自动更新功能,以获取最
新版安全修补程式。其他建议包括启动防毒、端点防护,并且使用装置管理产品以发现内
部网络中未列管的装置等。
https://www.ithome.com.tw/news/146764