本週微軟於11月例行更新(Patch Tuesday)當中,修補4項零時差漏洞,其中一項已被提前公開,且出現攻擊行動的NTLM雜湊值洩露欺騙漏洞CVE-2024-43451引起外界關注,通報此事的研究人員指出,俄羅斯駭客將其用於攻擊烏克蘭。
針對這項漏洞,微軟在資安公告中提及,這項漏洞涉及IE底層的MSHTML平臺、指令碼平臺,一旦攻擊者成功利用漏洞,就有機會洩露NTLMv2雜湊值,然後藉此以使用者的名義通過身分驗證,過程中需要與使用者互動,但他們強調,使用者只要與攻擊者提供的檔案進行極少的互動,就能觸發攻擊鏈。
但究竟駭客如何利用這項漏洞?通報此事的資安業者ClearSky表示,他們在今年6月察覺俄羅斯駭客組織UAC-0194將其用於攻擊烏克蘭企業組織,駭客濫用已遭到入侵的烏克蘭政府機關郵件伺服器寄送釣魚信,聲稱收信人必須依照指示更新學歷證明資料,這些信挾帶惡意URL檔案。
一旦收信人以右鍵點選、刪除、移動,或是與此URL檔案進行互動時,就會觸發CVE-2024-43451,電腦將與攻擊者的伺服器連線,下載木馬程式SparkRAT及其他作案工具。如此一來,攻擊者就能透過SparkRAT控制受害電腦,並設法在電腦重開機後讓該木馬程式持續運作。
事實上,對於所有Windows電腦的用戶而言,只要右鍵點選攻擊者特製的惡意檔案,就能觸發這個漏洞;若是Windows 10及11的用戶,將這類檔案刪除,或是拖曳到另一個資料夾,也會同樣觸發攻擊鏈;採用特定組態的Windows 7、8、8.1作業系統,也可能無法倖免。
熱門新聞
2024-12-08
2024-12-10
2024-12-10
2024-11-29
2024-12-08
2024-12-10