美國卡耐基梅隆大學的保安機構 CERT/CC 剛公布在 Microsoft Office 裡發現一個還未修正的漏洞,用戶一旦開啟電郵中含有惡意程式碼的虛假 Word 附件,就會下載惡意軟件到電腦上。最可怕的是,利用這個漏洞的攻擊早在今年 1 月就出現了。
據 CERT/CC 指出,這個漏洞是出於 Windows 用來連結圖片等資料到 Office 等文件裡時所用到的 OLE 功能有漏洞所致,駭客可以利用這個漏洞,將偽裝成 Word 文件的 RTF 檔案以附件方式寄給受害人,當受害人打開那附件,遠端的駭客就可以在沒有認證的情況下執行任意程式碼。
據 Microsoft 旗下的保安單位 Mcafee 表示,這漏洞會連結到受駭客控制的遠端伺服器,下載一個含有 HTML 應用程式(HTA)內容的檔案,並把它當作 .hta 檔案來執行。由於 HTA 檔案沒有瀏覽器的安全模型的限制,所以就可以隨意執行任意程式碼。而這個攻擊,即使是在 Windows 10 上運行的最新版的 Office 2016 亦不能倖免。
由於這個漏洞仍未有修正更新,Mcafee 建議用戶現在切勿開啟來路不明的 Office 文件。另外,他們發現這個攻擊手段無法繞運過 Protected View (受保護下的檢視),所以大家應該立即檢查有沒有啟用 Protected View 。在 Protected View 下,檔案會處於唯讀狀態。
確認「受保護下的檢視」功能
[row][third_paragraph]
[/third_paragraph][third_paragraph]
[/third_paragraph][third_paragraph]
[/third_paragraph][/row]
據知, Microsoft 會在明天( 4 月 12 日)釋出 Office 每月定期保安更新,雖然未知更新會否包括修正這個漏洞,不過大家還是應該立即進行更新。
資料來源:CERT/CC、Mcafee