微軟 IE 渲染引擎爆發零時差漏洞!駭客正用來發動目標式攻擊

作者 | 發布日期 2021 年 09 月 10 日 9:00 | 分類 Microsoft , 網路 , 資訊安全 Telegram share ! follow us in feedly


微軟發布最新資訊安全公告指出,Windows 10 及許多 Windows Server 版本上的 IE 瀏覽器元件「MSHTML」發現零時差漏洞(CVE-2021-40444),目前已有駭客透過該漏洞發動攻擊,一旦使用者開啟惡意文件或拜訪被佈下陷阱的網站後,駭客就能進一步奪取使用者電腦的控制權。可以確定的是,在 9 月 14 日「週二更新日」(Patch Tuesday)之前,微軟不會先行釋出更新修補程式。針對這個安全空窗期,微軟建議,可以先將 IE 中的 ActiveX 控制項關閉,以緩解可能的安全風險。

雖然微軟 IE 瀏覽器已逐漸被 Edge 等最新瀏覽器取代,但 IE 中這個存在漏洞的「MSHTML」核心元件,仍然會被微軟 Office 應用程式用來渲染 Web 內容。「攻擊者可以製作惡意 Active 控制項,以便專門提供給會用到這個瀏覽器渲染引擎的 Office 文件使用,」微軟在資安公告中表示。「攻擊者接下來必須嘗試說服使用者開啟該惡意文件才能成功觸發攻擊。不論如何,擁有配置更低系統權限帳號的使用者,其所受影響會比具備管理者權限的使用者更低。」

微軟強調指出,目前該零時差漏洞已被駭客用來發動目標式攻擊,並有三家機構通報漏洞概況。其中 EXPMON 的安全研究人員,成功重現對 Windows 10 系統上最新 Office 2019/Office 365 所發動的攻擊。EXPMON 在其官方推文中指出:「這個零時差漏洞攻擊運用了一些邏輯性瑕疵,這使得該漏洞攻擊工具極度可靠又危險。」

截至目前為止,並沒有任何緩解該零時差漏洞的官方修補程式發布,但微軟確定會在 9 月份的 Patch Tuesday 更新日正式釋出更新修補程式。所以最保險的做法就是,在 9 月 14 日之前,先嘗試關閉瀏覽器 Active 控制項,以便暫時性地緩解可能的安全風險,到了 9 月 14 日請務必完成更新,以免淪為這一波目標式攻擊的鎖定對象。

(首圖來源:Microsoft