2021年9月8日,微软发布了一则公告。 存在Windows零时差漏洞,用户可以在错误打开Office文件后黑进PC。 微软声称产品内置保护,但研究人员认为这一漏洞对用户的威胁比想象的要高。
最新编号CVE-2021-40444的漏洞位于Windows中的旧浏览器引擎MSHTML中。 攻击者可以发送恶意Office文件,启动Office程序访问包含恶意ActiveX控件的站点,并将恶意软件下载到PC上。 这样,黑客就可以执行任何程序代码或接管整个计算机。
微软尚未发布安全更新以纠正此漏洞,但默认情况下,当Office打开网络上的文档时,“安全视图”(Protected View )和沙盒技术应用程序指南此技术原理是在Windows Defender打开Office文档之前,检查是否有motw (web上的大鼠标)卷标。 这意味着来自网络。 如果文档包含此选项卡,则Defender SmartScreen将在安全视图中打开。
此外,在关闭IE环境的情况下安装ActiveX可以减少攻击。 可以使用注册表编辑器修改注册表文件并关闭ActiveX。
但是研究人员认为黑客有很多方法可以绕过这些防护。
首先,许多用户会忽略Office警告消息,直接关闭安全视图并读取文档。 此外,根据MITRE数据库,恶意文件包含在容器文件格式中,即使没有MoTW标签(如压缩文件. arj、 gzip、磁盘图像文件. iso或. vhd ),也可以使用计算机因为在这种情况下,文件被视为本地文件。
对于ActiveX,安全专家CERT/CC研究人员测试了如何在启用了ActiveX措施的PC上打开Office文件并运行恶意软件。 研究人员表示,这种攻击比恶意宏更危险,甚至关闭和限制宏的计算机也可能面临危险。
微软指出还没有针对这一漏洞的攻击活动,但资安研究者认为,挖掘这种漏洞的活动至少要一个月。 研究人员观察到一些恶意域与Bazarloader和恐吓软件背后的APT组织重叠,表明黑客开始大量发送垃圾邮件。
研究人员目前观测的恶意文件仅限于包含RTF文件格式的Office文件。 如果客户端无意中打开恶意Office文件,此漏洞会引起攻击。