駭客利用 MSHTML 漏洞發動攻擊 竊取 Goolge、IG 登入資訊

Microsoft Windows 在今年8月有發布漏洞修補程式:CVE-2021-40444

現在這個漏洞已經被拿來做攻擊,針對全球對象發動攻擊,來竊取 Google 與 Instagram 的登入資訊

駭客利用 MSHTML 漏洞發動攻擊 竊取 Goolge、IG 登入資訊

微軟有發布漏洞修補的更新程式,若沒有辦法更新的話,可以參考微軟官網的說明:「停用 ActiveX 控制項」

微軟官方說明:CVE-2021-40444 - 安全性更新導覽 - Microsoft - Microsoft MSHTML 遠端執行程式碼弱點

先講解決方案:(摘錄自上述微軟官方說明)

  • 如需在單個系統中透過 RegKey 停用 ActiveX 控制項:
  • 警告:如果使用「登錄編輯程式」的方式錯誤,可能造成嚴重問題,以致於必須重新安裝作業系統。Microsoft 無法保證您可以解決因為不正確使用「登錄編輯程式」所造成的問題。請自行承擔使用「登錄編輯程式」的風險。
    1. 如需在所有區域的 Internet Explorer 中停用安裝 ActiveX 控制項,將下列文字貼到文字檔案,並且以 .reg 副檔名儲存檔案:(內容請自行到官網複製)
    2. 按兩下 .reg 檔案以套用至您的策略登錄區。
    3. 重新啟動系統以確保套用新設定

簡單說,解法就是兩種:

  • 依微軟指示停用 ActiveX 控制項
  • 在 Windows Explorer 中停用預覽

攻擊與防治簡述:

  • 此次攻擊手法是利用 釣魚信件 夾帶 Word 檔,Word 檔打開就會啟動並利用此漏洞來抓取、蒐集用戶電腦中的機密資料,在送到駭客的伺服器。
  • 平常多利用 Google Docs 等等服務來開啟,就比較不會被此攻擊影響

來看看攻擊怎麼發生的,下述整理自此此:駭侵團體利用 MSHTML 漏洞發動攻擊,竊取 Google、Instagram 登入資訊

  • 近期新發現一個駭侵團體,利用 Windows 系統已知的一個 MSHTML 解析漏洞,針對全球對象發動攻擊,竊取其 Google 與 Instagram 的登入資訊。
  • 該駭侵團體主要的攻擊手法:
    • 利用魚叉式 釣魚信件 散布含有惡意程式碼的 Word 文件檔案,該文件檔案中的巨集程式碼,會利用一個 MSHTML 遠端執行任意程式碼漏洞 CVE-2021-40444 安裝惡意程式碼,並且透過植入的 PowerShell 指令檔收集受害者電腦中的各種機敏資訊,包括儲存資料與螢幕畫面等,送到駭侵者的控制伺服器中。

相關網頁

作者: Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料