在Windows MSHTML漏洞披露有攻击活动一个星期后,微软昨(16)日指出,有迹象显示歹徒正在利用这项漏洞,发动勒索软件攻击。
微软于9月7日公布编号CVE-2021-40444的Windows重大漏洞,警告已有开采活动,同时提供关闭Active X控件的缓解指示。随后在本周二Patch Tuesday发布安全更新解决这项漏洞后,微软威胁情报中心终于在昨天提供详细分析。
8月份微软侦测到数个(10个以下)攻击行动,已经利用恶意Office文件,开采MSHTML引擎中的CVE-2021-40444远程程序代码执行漏洞,传播特定Cobalt Strike Beacon下载器(loader)。微软相信,这是黑客行动中早期访问的一部分,通过黑入受害者计算机,以便执行后续行动。
攻击者借由发送恶意Office文件诱使用户打开,而Office应用程序中的MSHTML/Trident网页引擎会打开攻击者控制的恶意网页。网页中的Active X控件会下载恶意程序到用户计算机。
微软指出,这些下载器或Beacon连接的网络基础架构和多个犯罪活动有关,包括一个人为操作的勒索软件。微软推测这个是一个犯罪服务(C&C infrastructure as a service),可用于传播Conti勒索软件。此外,另一些下载器则用以传播僵尸网络程序TrickBot或木马程序BazaLoader,微软判断它和安全厂商Mandiant称之为UNC 1878或Wizard Spider(Trickbot制作者)有关。微软判断利用Cobalt Strike Beacon形成的网络至少有3波不同攻击行动,其中至少一家企业前后遭到2波不同攻击。
而在微软9月7日公布CVE-2021-40444安全公告后,当时便有安全研究人员观察到,陆续有概念验证(PoC)攻击工具公布于网络上。CC/CERT研究员Will Dormann还发现某个PoC工具经过修改,也能在关闭Active X的设备上执行程序。
微软指出,他们观察到在24小时内,多个黑客组织,包括勒索软件即服务(ransomware as a service)网络已经将公开的PoC程序代码加入其工具组中。
微软证实,关闭Office应用程序执行子行程(child process),可防堵开采CVE-2021-40444。
但是微软还是呼吁用户安装9月分的Patch Tuesday安全更新,以防止攻击者后续行动,也建议用户执行最新版操作系统(最好是Windows 10),并打开自动更新功能,以获取最新版安全修补程序。其他建议包括启动杀毒、端点防护,并且使用设备管理产品以发现内部网络中未列管的设备等。