微软周二(9/8)公告一个可趁用户误开Office文件后黑入PC的Windows零时差漏洞,尽管微软宣称其产品内置保护,但研究人员认为这个漏洞对用户造成的威胁,比想象中来得高。
最新编号CVE-2021-40444的漏洞,位于Windows内的旧式浏览器引擎MSHTML。攻击者可发送恶意Office文件,触发Office程序打开并连上内置恶 意ActiveX控件的网站,进而下载恶意程序到PC,这可让黑客执行任意程序代码,甚至接管整台计算机。
微软还未发布安全更新来修补这漏洞,但微软表示,Office默认打开来自网络上的文件时,会激活“安全查看”(Protected View),以及沙箱技术Application Guard for Office,两者都能防范攻击。这项技术原理是Windows Defender会在打开Office文件前,查看是否有MoTW(Mark of the Web)的标签,这标签意味是来自互联网。若文件带有这标签,Defender SmartScreen就会以安全查看打开。
此外,关闭IE环境下安装ActiveX可减缓攻击。用户可经由登录编辑程序变更注册表以关闭ActiveX。
但是研究人员认为黑客有许多方法可以绕过这些防护。首先,许多用户并不理会Office的警告消息,会径自关掉安全查看来读取文件。此外,根据MITRE数据库,将恶意文件包含在容器文件格式,像是压缩文件(.arj、.gzip)或磁盘镜像文件(.iso、.vhd)等中,即使没有MoTW标签,也能偷渡下载到计算机上打开,因为这时文件会被视为本机文件。
针对ActiveX,安全专家包括CERT/CC研究员Will Dormann已测试出在激活ActiveX缓解措施的PC上,依然能打开Office文件执行恶意程序的方法。研究人员指出,这类攻击比恶意宏还危险,连关闭或限制宏的计算机都还是可能曝险。
虽然微软指出尚没有针对此漏洞的攻击活动,但安全研究人员Kevin Beaumont认为,此类开采漏洞的活动至少已经一个月。他观察到有些恶意域名和Bazarloader及一个勒索软件背后的APT组织重叠,显示黑客已经开始大量发送垃圾邮件。
研究人员目前观测到的恶意文件,还局限在Office文件,包括RTF文件形式。
微软可能会在9月14日,通过9月份Patch Tuesday修补这项漏洞。