Windows RCE漏洞已有锁定Office用户的攻击,微软紧急提供缓解指示

微软周二紧急公告Windows中一个远程程序代码执行(RCE)漏洞已经有攻击活动,Office用户可能因打开恶意文件中标。由于目前尚无修补程序,微软紧急提供缓解决方案法。

编号CVE-2021-40444的漏洞,位于Windows内微软浏览器引擎MSHTML,它用于早期微软浏览器如IE(internet explorer)或旧版Edge,但也用于微软Office中。攻击者可撰写内置恶意ActiveX控制的Office文件,由Office程序打开来触发。攻击者必须诱使用户打开Office文件,但一旦成功,就可能在用户计算机上执行任意程序代码,甚至接管整台系统。

CVE-2021-40444风险值达8.8。本漏洞并非权限升级类型,因此低权限用户安全风险会小于管理员账号用户。

这项漏洞分别由EXPMON研究人员Haifei Li、Mandiant研究人员Dhanesh Kizhakkinan、Bryce Abdo及Genwei Jiang,以及微软安全情报中心研究人员Rick Cole发现。

网络上已经有针对本漏洞的攻击活动。EXPMON侦测到锁定Office用户的高端零时差攻击,该公司已在目前最常见的Windows 10版Office 2019及365产品上复制出攻击。

微软表示细节仍在调查中,意味着尚没有修补程序。目前已知受影响的Windows版本包括Windows 7、8.1、Windows 10(涵盖1607、1809到20H2)、Server 2008、2012、2016。

BleepingComputer引述EXPMON研究人员Haifei Li指出,攻击者发送的是.docx档,用户打开后,Word即加载浏览器引擎、打开攻击者控制的远程恶意网页,同时激活ActiveX控制下载恶意Cpl档。

但微软指出,Office默认打开来自网络上的文件时,都会激活“保护模式”或沙箱保护Application Guard for Office,两者都能防范攻击。但如果用户关闭保护模式来激活文件就会受害。

此外,微软的Defender Antivirus及Defender for Endpoint也可侦测到。升级到1.349.22.0以后定义档的Defender for Endpoint,会显示“可疑的Cpl文件执行”警告。

关闭IE环境下安装ActiveX可减缓攻击。用户可经由登录编辑程序变更注册表以关闭ActiveX。但微软也警告,执行不正确不但无法排除风险,还可能引发严重问题,而导致计算机必须重装Windows。

微软、CISA及研究人员呼吁,一般用户不要打开来路不明的Office文件。

发表评论