• 研究人员详细介绍了最近的恶意软件活动如何使用 Office 文档将恶意软件植入人们的 PC。

　　• 该攻击利用了 Windows 10 中的一个漏洞，诱骗人们让自己暴露在外。

　　• Microsoft 已针对该漏洞进行了缓解，但已发现解决方法。

　　有关 Windows 中的一个漏洞的详细信息已经公布，该漏洞使一些人容易受到利用 Office 文档的攻击。微软于 2021 年 9 月 7日(星期二)披露了Windows CVE-2021-40444 零日漏洞，但该公司当时并未透露太多相关细节。微软解释说，可以通过使用 Office 文档中包含的 ActiveX 控件来利用该漏洞。此方法可用于将恶意软件植入计算机。现在，我们有关于这个问题的更多细节。

　　Bleeping Computer收集了几位安全专家对该漏洞的评论，以说明它如何利用攻击者的优势。供参考：如果检测到 Web 标记 (MotW)，文档会在 Office 的受保护视图中打开，这表明文档源自 Internet 并且可能存在危险。然而，这种安全措施并不是万无一失的解决方案。

　　漏洞分析师 Will Dormann 解释了此设置中的一些缺陷：

　　如果文档位于由不支持 MotW 的东西处理的容器中，那么容器是从 Internet 下载的这一事实将没有实际意义。例如，如果 7Zip 打开来自 Internet 的存档，则提取的内容将不会表明它来自 Internet。所以没有 MotW，没有受保护的视图。

　　同样，如果文档位于 ISO 文件等容器中，Windows 用户只需双击 ISO 即可将其打开。但 Windows 不会将内容视为来自 Internet。再说一次，没有 MotW，没有受保护的视图。

　　还有一些类型的文件(例如 RTF 文件)无法在受保护的视图中打开，这会导致安全问题。

　　Microsoft 已采取缓解措施来防止 ActiveX 控件在 Internet Explorer 中运行，但研究人员已经找到了解决方法。

　　为了说明这些类型攻击的可行性，这里假设使用了我们在过去几个月中报告的几种攻击方法。

　　假设您收到一封看似来自 Futurenet.com 的电子邮件，但实际上是来自 Futurenet.com(注意第二个“e”不同)。这封电子邮件来自一个欺骗域，该域采用了一种老式策略，将拉丁字母和西里尔字母中的字符混合在一起。乍一看，该电子邮件看起来是合法的。现在想象一下，这个技巧与Outlook中最近的一个无法区分拉丁字符和西里尔字符的错误相结合，导致恶意电子邮件地址与 Outlook 中的真正联系人卡片一起出现。

　　在上述假设且看似无害的电子邮件中，是一份 Word 文档，声称与某些常规内容有关，例如需要阅读的时事通讯或需要填写的表格。当您单击假设的文档时，它会显示在受保护的视图中，因为它是来自 Web 的文档。许多人会忽略该警告并在他们打开的任何文档上单击“启用编辑”。人们更有可能对看似来自真实联系人的文档进行编辑。

　　通过单击启用编辑按钮，您的 PC 现在会暴露在恶意代码中，就像最近研究人员强调的攻击中发现的那样。最近的“Windows 11 Alpha”活动就是此类攻击的一个很好的例子。它声称人们需要单击一个按钮才能使来自Windows 11的文档与Windows 10兼容。不熟悉 Windows 11 的人可能会相信这样的提示并打开他们的 PC 进行攻击。

　　威胁行为者通常会同时利用安全漏洞和人们的无知或无辜。Microsoft 可能能够修补一组漏洞，但可以发现其他漏洞。至少有些人会继续无知或天真，这就是攻击活动继续取得成功的原因。