[情報] 微軟：Windows MSHTML漏洞已有勒索軟體開

看板PC_Shopping (個人電腦購買)作者hn9480412 (ilinker)時間4年前 (2021/09/19 20:42)推噓7(7推 0噓 5→)

留言12則, 9人參與討論串1/1

微軟：Windows MSHTML漏洞已有勒索軟體開採文/林妍溱 | 2021-09-17發表在Windows MSHTML漏洞揭露有攻擊活動一個星期後，微軟昨（16）日指出，有跡象顯示歹徒正在利用這項漏洞，發動勒索軟體攻擊。微軟於9月7日公布編號CVE-2021-40444的Windows重大漏洞，警告已有開採活動，同時提供關閉Active X控制項的緩解指示。隨後在本周二Patch Tuesday釋出安全更新解決這項漏洞後，微軟威脅情報中心終於在昨天提供詳細分析。 8月份微軟偵測到數個（10個以下）攻擊行動，已經利用惡意Office文件，開採MSHTML引擎中的CVE-2021-40444遠端程式碼執行漏洞，散布特製Cobalt Strike Beacon下載器（ loader）。微軟相信，這是駭客行動中早期存取的一部分，透過駭入受害者電腦，以便執行後續行動。攻擊者藉由傳送惡意Office文件誘使用戶開啟，而Office應用程式中的MSHTML/Trident網頁引擎會開啟攻擊者控制的惡意網頁。網頁中的Active X控制項會下載惡意程式到用戶電腦。微軟指出，這些下載器或Beacon連接的網路基礎架構和多個犯罪活動有關，包括一個人為操作的勒索軟體。微軟推測這個是一個犯罪服務（C&C infrastructure as a service），可用於散布Conti勒索軟體。此外，另一些下載器則用以散布殭屍網路程式TrickBot或木馬程式BazaLoader，微軟判斷它和安全廠商Mandiant稱之為UNC 1878或Wizard Spider（ Trickbot製作者）有關。微軟判斷利用Cobalt Strike Beacon形成的網路至少有3波不同攻擊行動，其中至少一間企業前後遭到2波不同攻擊。而在微軟9月7日公布CVE-2021-40444安全公告後，當時便有安全研究人員觀察到，陸續有概念驗證（PoC）攻擊工具公布於網路上。CC/CERT研究員Will Dormann還發現某個PoC工具經過修改，也能在關閉Active X的裝置上執行程式。微軟指出，他們觀察到在24小時內，多個駭客組織，包括勒索軟體即服務（ransomware as a service）網路已經將公開的PoC程式碼加入其工具組中。微軟證實，關閉Office應用程式執行子行程（child process），可防堵開採CVE-2021- 40444。但是微軟還是呼籲使用者安裝9月分的Patch Tuesday安全更新，以防止攻擊者後續行動，也建議用戶執行最新版作業系統（最好是Windows 10），並開啟自動更新功能，以獲取最新版安全修補程式。其他建議包括啟動防毒、端點防護，並且使用裝置管理產品以發現內部網路中未列管的裝置等。 https://www.ithome.com.tw/news/146764 --

推

FrostGZ

08/10 22:22,

08/10 22:22

推

pokemon1318

08/10 22:22,

08/10 22:22

推

a123453906

08/10 22:23,

08/10 22:23

推

c52chungyuny

08/10 22:24,

08/10 22:24

-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.251.33.110 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1632055346.A.63F.html ※ 編輯: hn9480412 (111.251.33.110 臺灣), 09/19/2021 20:43:03