微软发布最新信息安全公告指出,Windows 10及许多Windows Server版本上的IE浏览器组件“MSHTML”发现零时差漏洞(CVE-2021-40444),目前已有黑客通过该漏洞发动攻击,一旦用户打开恶意文件或拜访被布下陷阱的网站后,黑客就能进一步夺取用户计算机的控制权。可以确定的是,在9月14日“周二更新日”(Patch Tuesday)之前,微软不会先行发布更新修补程序。针对这个安全空窗期,微软建议,可以先将IE中的ActiveX控件关闭,以缓解可能的安全风险。
虽然微软IE浏览器已逐渐被Edge等最新浏览器取代,但IE中这个存在漏洞的“MSHTML”核心组件,仍然会被微软Office应用程序用来渲染Web内容。 “攻击者可以制作恶意Active控件,以便专门提供给会用到这个浏览器渲染引擎的Office文件使用,”微软在安全公告中表示。 “攻击者接下来必须尝试说服用户打开该恶意文件才能成功触发攻击。不论如何,拥有配置更低系统权限账号的用户,其所受影响会比具备管理者权限的用户更低。”
微软强调指出,目前该零时差漏洞已被黑客用来发动目标式攻击,并有三主机构通报漏洞概况。其中EXPMON的安全研究人员,成功重现对Windows 10系统上最新Office 2019/Office 365所发动的攻击。EXPMON在其官方推文中指出:“这个零时差漏洞攻击运用了一些逻辑性瑕疵,这使得该漏洞攻击工具极度可靠又危险。”
截至目前为止,并没有任何缓解该零时差漏洞的官方修补程序发布,但微软确定会在9月份的Patch Tuesday更新日正式发布更新修补程序。所以最保险的做法就是,在9月14日之前,先尝试关闭浏览器Active控件,以便暂时性地缓解可能的安全风险,到了9月14日请务必完成更新,以免沦为这一波目标式攻击的锁定对象。
(首图来源:Microsoft)