[情報] 微軟：Windows MSHTML漏洞已有勒索軟體開

微軟：Windows MSHTML漏洞已有勒索軟體開採

文/林妍溱 | 2021-09-17發表

在Windows MSHTML漏洞揭露有攻擊活動一個星期後，微軟昨（16）日指出，有跡象顯示歹徒正在利用這項漏洞，發動勒索軟體攻擊。

微軟於9月7日公布編號CVE-2021-40444的Windows重大漏洞，警告已有開採活動，同時提供關閉Active X控制項的緩解指示。隨後在本周二Patch Tuesday釋出安全更新解決這項漏洞後，微軟威脅情報中心終於在昨天提供詳細分析。

8月份微軟偵測到數個（10個以下）攻擊行動，已經利用惡意Office文件，開採MSHTML引擎中的CVE-2021-40444遠端程式碼執行漏洞，散布特製Cobalt Strike Beacon下載器（
loader）。微軟相信，這是駭客行動中早期存取的一部分，透過駭入受害者電腦，以便執行後續行動。

攻擊者藉由傳送惡意Office文件誘使用戶開啟，而Office應用程式中的MSHTML/Trident網頁引擎會開啟攻擊者控制的惡意網頁。網頁中的Active X控制項會下載惡意程式到用戶電腦。

微軟指出，這些下載器或Beacon連接的網路基礎架構和多個犯罪活動有關，包括一個人為操作的勒索軟體。微軟推測這個是一個犯罪服務（C&C infrastructure as a service），可用於散布Conti勒索軟體。此外，另一些下載器則用以散布殭屍網路程式TrickBot或木馬程式BazaLoader，微軟判斷它和安全廠商Mandiant稱之為UNC 1878或Wizard Spider（
Trickbot製作者）有關。微軟判斷利用Cobalt Strike Beacon形成的網路至少有3波不同攻擊行動，其中至少一間企業前後遭到2波不同攻擊。

而在微軟9月7日公布CVE-2021-40444安全公告後，當時便有安全研究人員觀察到，陸續有概念驗證（PoC）攻擊工具公布於網路上。CC/CERT研究員Will Dormann還發現某個PoC工具經過修改，也能在關閉Active X的裝置上執行程式。

微軟指出，他們觀察到在24小時內，多個駭客組織，包括勒索軟體即服務（ransomware as a service）網路已經將公開的PoC程式碼加入其工具組中。

微軟證實，關閉Office應用程式執行子行程（child process），可防堵開採CVE-2021-
40444。

但是微軟還是呼籲使用者安裝9月分的Patch Tuesday安全更新，以防止攻擊者後續行動，也建議用戶執行最新版作業系統（最好是Windows 10），並開啟自動更新功能，以獲取最新版安全修補程式。其他建議包括啟動防毒、端點防護，並且使用裝置管理產品以發現內部網路中未列管的裝置等。

https://www.ithome.com.tw/news/146764

--