微軟在8月便偵測到利用Windows MSHTML重大漏洞的零星攻擊行動,而這項漏洞在9月7日公開之後,針對性攻擊次數也隨之升高,呼籲使用者盡快安裝9月Patch Tuesday安全更新,以完成修補。(圖片來源/微軟)

Windows MSHTML漏洞揭露有攻擊活動一個星期後,微軟昨(16)日指出,有跡象顯示歹徒正在利用這項漏洞,發動勒索軟體攻擊。

微軟於9月7日公布編號CVE-2021-40444的Windows重大漏洞,警告已有開採活動,同時提供關閉Active X控制項的緩解指示。隨後在本周二Patch Tuesday釋出安全更新解決這項漏洞後,微軟威脅情報中心終於在昨天提供詳細分析。

8月份微軟偵測到數個(10個以下)攻擊行動,已經利用惡意Office文件,開採MSHTML引擎中的CVE-2021-40444遠端程式碼執行漏洞,散布特製Cobalt Strike Beacon下載器(loader)。微軟相信,這是駭客行動中早期存取的一部分,透過駭入受害者電腦,以便執行後續行動。

攻擊者藉由傳送惡意Office文件誘使用戶開啟,而Office應用程式中的MSHTML/Trident網頁引擎會開啟攻擊者控制的惡意網頁。網頁中的Active X控制項會下載惡意程式到用戶電腦。

微軟指出,這些下載器或Beacon連接的網路基礎架構和多個犯罪活動有關,包括一個人為操作的勒索軟體。微軟推測這個是一個犯罪服務(C&C infrastructure as a service),可用於散布Conti勒索軟體。此外,另一些下載器則用以散布殭屍網路程式TrickBot或木馬程式BazaLoader,微軟判斷它和安全廠商Mandiant稱之為UNC 1878或Wizard Spider(Trickbot製作者)有關。微軟判斷利用Cobalt Strike Beacon形成的網路至少有3波不同攻擊行動,其中至少一間企業前後遭到2波不同攻擊。

而在微軟9月7日公布CVE-2021-40444安全公告後,當時便有安全研究人員觀察到,陸續有概念驗證(PoC)攻擊工具公布於網路上。CC/CERT研究員Will Dormann還發現某個PoC工具經過修改,也能在關閉Active X的裝置上執行程式。

微軟指出,他們觀察到在24小時內,多個駭客組織,包括勒索軟體即服務(ransomware as a service)網路已經將公開的PoC程式碼加入其工具組中。

微軟證實,關閉Office應用程式執行子行程(child process),可防堵開採CVE-2021-40444。

但是微軟還是呼籲使用者安裝9月分的Patch Tuesday安全更新,以防止攻擊者後續行動,也建議用戶執行最新版作業系統(最好是Windows 10),並開啟自動更新功能,以獲取最新版安全修補程式。其他建議包括啟動防毒、端點防護,並且使用裝置管理產品以發現內部網路中未列管的裝置等。


熱門新聞

Advertisement