Microsoft Windows 在今年8月有發布漏洞修補程式:CVE-2021-40444
現在這個漏洞已經被拿來做攻擊,針對全球對象發動攻擊,來竊取 Google 與 Instagram 的登入資訊
駭客利用 MSHTML 漏洞發動攻擊 竊取 Goolge、IG 登入資訊
微軟有發布漏洞修補的更新程式,若沒有辦法更新的話,可以參考微軟官網的說明:「停用 ActiveX 控制項」
微軟官方說明:CVE-2021-40444 - 安全性更新導覽 - Microsoft - Microsoft MSHTML 遠端執行程式碼弱點
先講解決方案:(摘錄自上述微軟官方說明)
- 如需在單個系統中透過 RegKey 停用 ActiveX 控制項:
- 警告:如果使用「登錄編輯程式」的方式錯誤,可能造成嚴重問題,以致於必須重新安裝作業系統。Microsoft 無法保證您可以解決因為不正確使用「登錄編輯程式」所造成的問題。請自行承擔使用「登錄編輯程式」的風險。
- 如需在所有區域的 Internet Explorer 中停用安裝 ActiveX 控制項,將下列文字貼到文字檔案,並且以 .reg 副檔名儲存檔案:(內容請自行到官網複製)
- 按兩下 .reg 檔案以套用至您的策略登錄區。
- 重新啟動系統以確保套用新設定
簡單說,解法就是兩種:
- 依微軟指示停用 ActiveX 控制項
- 在 Windows Explorer 中停用預覽
攻擊與防治簡述:
- 此次攻擊手法是利用 釣魚信件 夾帶 Word 檔,Word 檔打開就會啟動並利用此漏洞來抓取、蒐集用戶電腦中的機密資料,在送到駭客的伺服器。
- 平常多利用 Google Docs 等等服務來開啟,就比較不會被此攻擊影響
來看看攻擊怎麼發生的,下述整理自此此:駭侵團體利用 MSHTML 漏洞發動攻擊,竊取 Google、Instagram 登入資訊
- 近期新發現一個駭侵團體,利用 Windows 系統已知的一個 MSHTML 解析漏洞,針對全球對象發動攻擊,竊取其 Google 與 Instagram 的登入資訊。
- 該駭侵團體主要的攻擊手法:
- 利用魚叉式 釣魚信件 散布含有惡意程式碼的 Word 文件檔案,該文件檔案中的巨集程式碼,會利用一個 MSHTML 遠端執行任意程式碼漏洞 CVE-2021-40444 安裝惡意程式碼,並且透過植入的 PowerShell 指令檔收集受害者電腦中的各種機敏資訊,包括儲存資料與螢幕畫面等,送到駭侵者的控制伺服器中。