微软发布最新资讯安全公告指出,Windows 10 及许多 Windows Server 版本上的 IE 浏览器元件“MSHTML”发现零时差漏洞(CVE-2021-40444),目前已有骇客透过该漏洞发动攻击,一旦使用者开启恶意文件或拜访被布下陷阱的网站后,骇客就能进一步夺取使用者电脑的控制权。可以确定的是,在 9 月 14 日“周二更新日”(Patch Tuesday)之前,微软不会先行释出更新修补程式。针对这个安全空窗期,微软建议,可以先将 IE 中的 ActiveX 控件关闭,以缓解可能的安全风险。
虽然微软 IE 浏览器已逐渐被 Edge 等最新浏览器取代,但 IE 中这个存在漏洞的“MSHTML”核心元件,仍然会被微软 Office 应用程序用来渲染 Web 内容。“攻击者可以制作恶意 Active 控件,以便专门提供给会用到这个浏览器渲染引擎的 Office 文件使用,”微软在资安公告中表示。“攻击者接下来必须尝试说服使用者开启该恶意文件才能成功触发攻击。不论如何,拥有配置更低系统权限账号的使用者,其所受影响会比具备管理者权限的使用者更低。”
微软强调指出,目前该零时差漏洞已被骇客用来发动目标式攻击,并有三家机构通报漏洞概况。其中 EXPMON 的安全研究人员,成功重现对 Windows 10 系统上最新 Office 2019/Office 365 所发动的攻击。EXPMON 在其官方推文中指出:“这个零时差漏洞攻击运用了一些逻辑性瑕疵,这使得该漏洞攻击工具极度可靠又危险。”
截至目前为止,并没有任何缓解该零时差漏洞的官方修补程式发布,但微软确定会在 9 月份的 Patch Tuesday 更新日正式释出更新修补程式。所以最保险的做法就是,在 9 月 14 日之前,先尝试关闭浏览器 Active 控件,以便暂时性地缓解可能的安全风险,到了 9 月 14 日请务必完成更新,以免沦为这一波目标式攻击的锁定对象。
- Microsoft: Attackers Exploiting Windows Zero-Day Flaw
(首图来源:Microsoft)
