[情報] 微軟:Windows MSHTML漏洞已有勒索軟體開
微軟:Windows MSHTML漏洞已有勒索軟體開採
文/林妍溱 | 2021-09-17發表
在Windows MSHTML漏洞揭露有攻擊活動一個星期後,微軟昨(16)日指出,有跡象顯示歹徒正在利用這項漏洞,發動勒索軟體攻擊。
微軟於9月7日公布編號CVE-2021-40444的Windows重大漏洞,警告已有開採活動,同時提供關閉Active X控制項的緩解指示。隨後在本周二Patch Tuesday釋出安全更新解決這項漏洞後,微軟威脅情報中心終於在昨天提供詳細分析。
8月份微軟偵測到數個(10個以下)攻擊行動,已經利用惡意Office文件,開採MSHTML引擎中的CVE-2021-40444遠端程式碼執行漏洞,散布特製Cobalt Strike Beacon下載器(
loader)。微軟相信,這是駭客行動中早期存取的一部分,透過駭入受害者電腦,以便執行後續行動。
攻擊者藉由傳送惡意Office文件誘使用戶開啟,而Office應用程式中的MSHTML/Trident網頁引擎會開啟攻擊者控制的惡意網頁。網頁中的Active X控制項會下載惡意程式到用戶電腦。
微軟指出,這些下載器或Beacon連接的網路基礎架構和多個犯罪活動有關,包括一個人為操作的勒索軟體。微軟推測這個是一個犯罪服務(C&C infrastructure as a service),可用於散布Conti勒索軟體。此外,另一些下載器則用以散布殭屍網路程式TrickBot或木馬程式BazaLoader,微軟判斷它和安全廠商Mandiant稱之為UNC 1878或Wizard Spider(
Trickbot製作者)有關。微軟判斷利用Cobalt Strike Beacon形成的網路至少有3波不同攻擊行動,其中至少一間企業前後遭到2波不同攻擊。
而在微軟9月7日公布CVE-2021-40444安全公告後,當時便有安全研究人員觀察到,陸續有概念驗證(PoC)攻擊工具公布於網路上。CC/CERT研究員Will Dormann還發現某個PoC工具經過修改,也能在關閉Active X的裝置上執行程式。
微軟指出,他們觀察到在24小時內,多個駭客組織,包括勒索軟體即服務(ransomware as a service)網路已經將公開的PoC程式碼加入其工具組中。
微軟證實,關閉Office應用程式執行子行程(child process),可防堵開採CVE-2021-
40444。
但是微軟還是呼籲使用者安裝9月分的Patch Tuesday安全更新,以防止攻擊者後續行動,也建議用戶執行最新版作業系統(最好是Windows 10),並開啟自動更新功能,以獲取最新版安全修補程式。其他建議包括啟動防毒、端點防護,並且使用裝置管理產品以發現內部網路中未列管的裝置等。
https://www.ithome.com.tw/news/146764
--
--
謝囉微軟
微軟你真的很爛
微軟日常
邪惡的ie核心
唉,祝開發這些惡意軟體的人在現實
中全都確診重症!
微軟:強迫更新之術2
這些不是漏洞吧,是ms自己留的後面
被發現而已
大家不去譴責犯罪組織反而靠杯微軟
不知道是什麼心態
win7安定
25
[情報] 勒索軟體利用有漏洞的技嘉驅動程式關閉勒索軟體利用有漏洞的技嘉驅動程式關閉電腦防毒軟體 遭官方棄用的硬體驅動程式,因含有未修補漏洞,被駭客用來入侵Windows電腦並關閉防 毒軟體,以成功安裝勒索軟體,加密用戶檔案勒索金錢 文/林妍溱 | 2020-02-11發表 安全廠商發現勒索軟體攻擊手法再翻新,一個新種勒索軟體家族,可在電腦安裝合法的硬18
[情報] 駭客利用8年前的Intel驅動程式漏洞,在Wi駭客利用8年前的Intel驅動程式漏洞,在Windows電腦安裝惡意程式 文/林妍溱 | 2023-01-12發表 安全廠商Crowdstrike發現一個駭客組織利用8年前的Intel驅動程式漏洞繞過防毒軟體檢查安裝惡意程式,攻擊Windows電腦用戶。 研究人員發現名為Scattered Spider(或Roasted 0ktapus或UNC3944)的駭客組織近半年來,持續透過Intel Ethernet診斷驅動程式(iqvw64.sys)中編號CVE-2015-2291的漏洞,在用戶Windows電腦部署惡意的核心驅動程式。 研究人員解釋,這波攻擊是使用近年盛行的BYOVD(Bring Your Own Vulnerable Device)手法。這類手法是因應Windows防堵惡意程式執行的措施而生。自Windows Vista開始,微軟就封鎖未獲簽章的驅動程式執行,並在Windows 10進一步預設封鎖具已知漏洞的驅動程式。這讓駭客衍生出有漏洞或惡意驅動程式獲得合法簽章,藉以在Windows機器上執行。3
[情報] 因嚴重IE漏洞 微軟再為Win 7發佈安全更新轉自cnBeta 簡體不喜勿點 ---- 因嚴重IE漏洞 微軟再為已停止支援的Windows 7發佈安全更新 2020年02月21日 16:45 稿源:cnBeta.COM5
[情報] Windows含有一個未被修補的SMB蠕蟲漏洞Windows含有一個未被修補的SMB蠕蟲漏洞 文/陳曉莉 | 2020-03-12發表 微軟在本周二(3/10)的Patch Tuesday修補了115個安全漏洞,遺漏了一個原本要修補、 卻未修補的Server Message Block(SMB)漏洞,成功的開採將允許遠端駭客在SMB伺服器 或客戶端執行任意程式,由於它的嚴重性可能相當於EternalBlue攻擊程式所利用的3
Re: [新聞] 微軟發緊急安全警告 立即更新個人電腦微軟7月6日釋出的PrintNightmare漏洞修補,被研究人員判定無效 美國CERT/CC研究人員Will Dormann以及知名滲透工具Mimikatz開發者直言,影響Windows 列印多工緩衝處理器的PrintNighmare漏洞,具備LPE及RCE兩種屬性,但微軟在7月6日提 供的修補,並未解決RCE以及LPE漏洞引發的安全問題 文/林妍溱 | 2021-07-09發表3
[情報] 解決誤簽發漏洞啟動程式BootLoader問題解決誤簽發漏洞啟動程式BootLoader問題的Windows更新,因錯誤無法安裝 文/林妍溱 | 2022-08-17發表 微軟本月初Patch Tuesday釋出一個安全更新,欲解決誤簽發有漏洞開機啟動程式的問題,不過傳出發生無法安裝的錯誤。 微軟本月初Patch Tuesday針對多個版本Windows釋出KB5012170安全更新,不過微軟說明,安裝本更新可能會發生安裝失敗,並接獲0x800f0922的錯誤訊息代碼。 KB5012170主要是更新Windows中Secure Boot DBX,這是儲存被註銷的UEFI開機啟動程式簽章的儲存庫。在Windows電腦硬體啟動、Windows載入前,UEFI開機啟動程式會先執行,並啟動具備安全開機(Secure Boot)的UEFI環境,以便只有受信任的程式碼可在這個階段於PC執行。