鉅立資訊代理的奧義智慧科技發佈資安快訊:CVE-2021–40444 已出現大規模惡意攻擊的 Microsoft 嚴重 RCE 漏洞
2021年 9 月 7 號,微軟安全回應中心 (Microsoft Security Response Center, MSRC) 公布了編號為 CVE-2021-40444 的一個重大漏洞,這是 Microsoft MSHTML 元件的遠端程式碼執行 (Remote Code Execution, RCE) 漏洞。此漏洞由 Microsoft、Mandiant 與 EXPMON 等資安公司的人員所發現,並在滿分為 10 分的通用漏洞評分系統 (Common Vulnerability Scoring System, CVSS) 中,得到了高達 8.8 的評分,其危害程度不容小覷。
CVE-2021–40444 漏洞的影響範圍廣泛,包含了 Windows 7~10 與 Windows 2008~2019 等在內的目前所有 Windows 版本皆會受到影響,因此,我們強烈建議所有 Windows 使用者都應提高警覺。這項嚴重的 RCE 漏洞由 MSHTML 元件所導致,使得惡意攻擊者可以遠端植入並且執行惡意程式碼。
既然新聞說是 IE 漏洞,那麼沒用 IE 的使用者可以安心嗎?
奧義持續關注海內外資安最新消息,並於第一時間便已向客戶發布 CVE-2021–40444 相關的消息,關於此漏洞許多人常和我們提出的疑問便是,新聞上寫到 CVE-2021–40444 漏洞時常將其歸類為 IE 漏洞,那麼若是未使用 IE 的使用者,是否仍然會被此漏洞影響到呢?而答案顯然是肯定的。
CVE-2021–40444 漏洞是由 MSHTML 元件所導致,也就是為何新聞稱其為 IE 漏洞。然而,對 Windows 來說 IE 只是一個外殼 Application,真正出現漏洞的是 IE 所使用的核心 MSHTML 系列元件,它是內建在 Windows 系統中一個非常重要的元件,甚至 Windows 的控制台實作上也利用到了該元件。
此外,許多程式都有應用到這項 MSHTML 元件,因此它無法被移除、也無法停用,舉例來說,這次的惡意攻擊文件便是透過控制台來觸發的。所以,從結論而言,無論使用者平時是否有使用 IE 瀏覽器,都無法擺脫 MSHTML 元件的影響,並且仍在此漏洞威脅可能波及到的範圍之內。
駭客組織已開始利用此漏洞,使用者應如何自保?
根據微軟 MSRC 的公告指出,目前已發現有駭客團體利用 CVE-2021–40444 漏洞進行針對性的攻擊,藉由製作偽造的 Office 文件並透過設定 ActiveX 控制惡意文件,即可在不需要 Office 巨集下執行遠端駭客程式,並進一步奪取受駭電腦的控制權。
而針對 CVE-2021–40444 漏洞,微軟官方尚未發布相關的修補程式,僅表示使用者可修改 Internet Explorer 瀏覽器的設定,依循官方公告中的方法停用 ActiveX 元件的安裝,藉此來暫時緩解此漏洞所衍生的攻擊威脅。
透過即時監控與雲端 AI 分析,奧義智慧 MDR 已經可偵測到利用 CVE-2021-40444 漏洞所發動的攻擊,在攻擊發生的時候第一時間向客戶發出緊急告警,並且提供企業資安應變小組具體可行的緩解方案,快速且有效地獵捕可疑威脅、避免損害範圍擴大。後續奧義資安團隊也將持續追蹤、監控此漏洞的相關情報,協助客戶建立強韌可信賴的資安中場防線。
*新聞來源 : 奧義智慧科技 Blog (https://medium.com/cycraft/cve-2021-40444-d5489f8d54ad)
