微軟一直以來大力推動 Microsoft Office 應用程式,讓用戶可以使用經典套裝生產力工具,並且持續不斷地加入各種與時俱進的新功能。近日,微軟揭露了一個最高嚴重性的零日漏洞,影響多款 Office 和 365 產品,攻擊者可能利用此漏洞竊取個人或組織內的私人資料,至於修復更新應該會在 8/13 前後釋出。
微軟揭露 Microsoft Office 應用程式未修補的高危漏洞
該漏洞編號為 CVE-2024-38200(有興趣可以點擊前往查看更多詳細資訊),又被稱為「Microsoft Office 欺騙漏洞」(Microsoft Office Spoofing Vulnerability),攻擊者不需要多花功夫去誘導受害者開啟惡意檔案或執行不良程式,只需引導受訪者造訪包含「特製檔案」的網站即可,是一個危險係數高且相對容易被利用的漏洞。
下面列舉出來的 Offiice 系列產品均受到 CVE-2024-38200 波及:
- Microsoft Office 2016(32 位元和 64 位元)
- Microsoft Office 2016(32 位元和 64 位元)
- Microsoft Office LTSC 2021(32 位元和 64 位元)
- Microsoft 365 企業版應用程式(32 位元和 64 位元)
MITRE 表示,攻擊者很有可能利用此漏洞。就其本身而言,微軟將可利用性標記為「不太可能」,這表示在攻擊者能夠弄清楚如何建立利用所需的惡意檔案之前應該就有補丁可用,但請切記,無論如何,未能安裝所需安全性更新的個人或組織都將更容易處於遭受攻擊的風險下。
使用受影響版本的 Microsoft Office 的用戶應一如既往地避免開啟未知網站(尤其是透過電子郵件分享的網址)。組織、企業可以採取更積極的措施來降低風險,Microsoft 建議將敏感用戶新增至受保護的使用者安全群組中。在防火牆和 VPN 設定中封鎖 TCP 445/SMB 也可以減少潛在的暴露,這兩項變更都可以在安裝微軟安全性修復後取消,而安全性更新的推出時間暫定於 8 月 13 日。
Source:
Bleeping Computer
