微软上周警告Office有一漏洞可能导致敏感资讯如NTLM验证资料泄露给骇客,影响云端与桌机版本Office,微软预定在本周二(台湾时间周三)释出Office安全更新,但表示用户暂无安全风险。
编号CVE-2024-38200是由PrivSec Consulting研究人员Jim Rush及独立研究人员Metin Yunus Kandemir发现,为一欺骗攻击(spoofing vulnerability)漏洞,CVSS 风险值7.5 ,可造成敏感资讯泄露给未经授权的攻击者。影响产品包括Office LTSC 2021、Office 2019、2016的64-bit和32-bit版本、与Microsoft 365 for Enterprise 32-bit、64-bit。
微软说明本漏洞的攻击手法。在Web攻击情境中,攻击者中可能设立恶意网页或滥用被骇网站代管恶意档案,以便滥用该漏洞。攻击者必须利用社交工程,像是邮件或即时通讯等手法诱使用户点击连结,并说服他们开启恶意档案。
微软并未描述Office何以出现漏洞,也未说明可能泄露的敏感资讯为何。但根据微软提供的暂时性防御方法,显示可能曝光的是NTLM杂凑。该防御方法说,配置「网路安全:限制NTLM:NTLM流量外流至远端伺服器」政策,可设定防堵或稽核所有试图从Windows Server 2008、Server 2008 R2等以上版本,经过NTLM验证连向远端Windows伺服器的行为。
目前这漏洞是还没有修补程式的,微软预定在8月13日的安全更新(台湾时间8月14日)修补本漏洞。但微软说明,微软在7月30日的Feature Flighting,已经包含了一个可提供防护的另一修补程式。Feature Flighting是以Feature Flags方式,在微软控制下逐步部署软体功能给用户端的更新方法,涵括Office或Windows功能或安全更新。微软说,所有有效版本的Office、Microsoft 365用户都已获得防护了,只是用户到时还是必须升级到8/13/2024更新版以获得最终版修补。
在更新软体到来之前,其他防护方法包括将用户加入到「防护用户的安全群组」,防止使用NTLM作为验证机制。其次设定防火墙或VPN,封锁TCP 445/SMB传输埠的向外流量,以防NTML验证资讯送到外部档案共享伺服器。