看板PC_Shopping
微軟:Windows MSHTML漏洞已有勒索軟體開採
文/林妍溱 | 2021-09-17發表
在Windows MSHTML漏洞揭露有攻擊活動一個星期後,微軟昨(16)日指出,有跡象顯示歹
徒正在利用這項漏洞,發動勒索軟體攻擊。
微軟於9月7日公布編號CVE-2021-40444的Windows重大漏洞,警告已有開採活動,同時提供
關閉Active X控制項的緩解指示。隨後在本周二Patch Tuesday釋出安全更新解決這項漏洞
後,微軟威脅情報中心終於在昨天提供詳細分析。
8月份微軟偵測到數個(10個以下)攻擊行動,已經利用惡意Office文件,開採MSHTML引擎
中的CVE-2021-40444遠端程式碼執行漏洞,散布特製Cobalt Strike Beacon下載器(
loader)。微軟相信,這是駭客行動中早期存取的一部分,透過駭入受害者電腦,以便執
行後續行動。
攻擊者藉由傳送惡意Office文件誘使用戶開啟,而Office應用程式中的MSHTML/Trident網
頁引擎會開啟攻擊者控制的惡意網頁。網頁中的Active X控制項會下載惡意程式到用戶電
腦。
微軟指出,這些下載器或Beacon連接的網路基礎架構和多個犯罪活動有關,包括一個人為
操作的勒索軟體。微軟推測這個是一個犯罪服務(C&C infrastructure as a service),
可用於散布Conti勒索軟體。此外,另一些下載器則用以散布殭屍網路程式TrickBot或木馬
程式BazaLoader,微軟判斷它和安全廠商Mandiant稱之為UNC 1878或Wizard Spider(
Trickbot製作者)有關。微軟判斷利用Cobalt Strike Beacon形成的網路至少有3波不同攻
擊行動,其中至少一間企業前後遭到2波不同攻擊。
而在微軟9月7日公布CVE-2021-40444安全公告後,當時便有安全研究人員觀察到,陸續有
概念驗證(PoC)攻擊工具公布於網路上。CC/CERT研究員Will Dormann還發現某個PoC工具
經過修改,也能在關閉Active X的裝置上執行程式。
微軟指出,他們觀察到在24小時內,多個駭客組織,包括勒索軟體即服務(ransomware as
a service)網路已經將公開的PoC程式碼加入其工具組中。
微軟證實,關閉Office應用程式執行子行程(child process),可防堵開採CVE-2021-
40444。
但是微軟還是呼籲使用者安裝9月分的Patch Tuesday安全更新,以防止攻擊者後續行動,
也建議用戶執行最新版作業系統(最好是Windows 10),並開啟自動更新功能,以獲取最
新版安全修補程式。其他建議包括啟動防毒、端點防護,並且使用裝置管理產品以發現內
部網路中未列管的裝置等。
https://www.ithome.com.tw/news/146764
--
--
※ 批踢踢實業坊(ptt.cc), 來自: 111.251.33.110 (臺灣)※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1632055346.A.63F.html
推 FrostGZ : 崩 08/10 22:22
推 pokemon1318 : 不 08/10 22:22
推 a123453906 : 應 08/10 22:23
推 c52chungyuny: 求你們停了好嗎 08/10 22:24
推 maplefoxs : 謝囉微軟 36.238.106.47 09/19 21:16
推 Windcws9Z : 微軟你真的很爛 59.127.190.36 09/19 21:45
推 yoyotvv : 微軟日常 223.138.25.12 09/19 22:01
推 ltytw : 邪惡的ie核心223.138.229.109 09/19 23:45
推 superluminal: 唉,祝開發這些惡意軟體的人在現實 223.136.199.39 09/20 00:17
→ superluminal: 中全都確診重症! 223.136.199.39 09/20 00:17
→ Transposon : 微軟:強迫更新之術2 111.82.202.0 09/20 00:31
推 yoshilin : 這些不是漏洞吧,是ms自己留的後面 101.136.124.98 09/20 01:46
→ yoshilin : 被發現而已 101.136.124.98 09/20 01:46
→ F04E : 大家不去譴責犯罪組織反而靠杯微軟 123.218.146.36 09/20 08:25
→ F04E : 不知道是什麼心態 123.218.146.36 09/20 08:26
推 mkzkcfh : win7安定 1.161.229.144 09/20 10:44