微軟於6月14日發布的每月例行修補(Patch Tuesday),總共處理55個漏洞,其中有個零時差漏洞特別引人關注,那就是5月底揭露的MSDT漏洞CVE-2022-30190(亦稱Follina),微軟也在6月中,針對所有的Windows作業系統版本,發布修補程式,如果這些設備安裝之後,將能夠防堵駭客執行PowerShell注入的攻擊行動。

微軟最早於5月30日對此發布通告,登錄為CVE-2022-30190列管,指出與Windows支援診斷工具(MSDT)有關,CVSS評分為7.8分,當時微軟提出了停用相關通訊協定的方式,緩解這項漏洞帶來的風險。但在資安通告公布後,也陸續出現相關的漏洞利用攻擊行動。

根據微軟發布的更新程式列表,他們總共對36個Windows作業系統版本進行修補,涵蓋了Windows 7以上所有版本,以及所有Windows Server 2008R2以上的伺服器作業系統,當然也包含最新的Windows 11,以及Windows Server 2022。

同時,無論是電腦是搭配x86或Arm的處理器、使用32位元或64位元版本的作業系統,也都需要安裝對應的更新修補。即使是無GUI介面(Server Core)的伺服器作業系統,微軟也予以修補。

有可能在不需用戶互動的情況下就觸發漏洞

這項漏洞之所以受高度關注,主要是資安人員在5月下旬,調查MSHTML重大漏洞CVE-2021-40444之際,意外在惡意軟體分析平臺VirusTotal,看到了有問題的Word檔案,使用者一旦開啟檔案,屆時就會使用MSProtocol URI Scheme(ms-msdt)架構,載入程式碼,進而執行PowerShell。

而這樣的手法,也經過其他資安專家的進一步確認,確實是利用未被列管的零時差漏洞攻擊。

相較於現行許多Office已知漏洞,Follina與之極為不同的地方,那就是攻擊者如果是利用RTF格式的文件檔案來發動攻擊,由於Windows檔案總管就能預覽內容,過程中,有可能在不需受害者開啟檔案的狀況下,就能觸發漏洞。

關於這項漏洞,命名的資安專家Kevin Beaumont指出,微軟在Office軟體當中,加入受保護的檢視(Protected View),而能針對惡意檔案開啟時就逕自執行巨集的狀況進行防堵,不過,可能難以防範上述利用檔案總管預覽功能的情況。

相關漏洞的修補可能需要更加積極因應

事實上,Follina已被用於攻擊行動的情況,在4月上旬,就有研究人員向微軟安全回應中心(MSRC)通報,然而,因為MSRC認為此漏洞與資安沒有關連,且無法完整執行、驗證研究人員提供的檔案,而將其結案不予處理。這樣的情況,使得攻擊者能夠持續利用該零時差漏洞超過一個月。

無獨有偶,資安業者Tenable也認為,微軟需要更加積極回應研究人員通報的漏洞──他們在6月15日,公布通報Azure Synapse Analytics漏洞的過程,微軟在獲報後的第89天,才默默修補部分漏洞,但沒有通知用戶,也並未發布CVE編號,使得該雲端資料分析服務的用戶不知已經曝險。


熱門新聞

Advertisement