您知道周二補丁日嗎?電腦愛好者或安全行業人士也許都知道,所謂“周二補丁日(Patch Tuesday)”是指微軟在每個月的第二個星期二定期發布系統更新補丁的日子。每個月的第二個周二更新是微軟安全更新的傳統做法,當然除此之外,微軟還會根據具體情況不定期發布緊急補丁。剛剛過去的10月12日正是周二補丁日,讓我們看看近期微軟和Adobe都修復了哪些重要漏洞。
微軟共修復了71個漏洞
微軟在10月12日的周二補丁日共修復了 71個安全漏洞。其中,最重要的是Win32k驅動中發現的特權提升漏洞,經分析該漏洞存在致命風險。據了解,該漏洞已經被某APT組織用于攻擊各種公司和機構。至少從今年8月開始,攻擊活動就一直在進行。
這個有問題的零日漏洞是CVE-2021-40449,它是一種UaF漏洞。該漏洞在Win32k內核驅動程序中被發現,如果它被成功利用,便可以提升權限。但是,它不能被遠程利用。卡巴斯基在調查今年8月和9月Windows 服務器上發現的各種攻擊案例時,發現并報告了該漏洞。 但它已被黑客組織使用。
這個黑客組織是一個名為“Iron Husky”的組織,該組織至少自 2012 年以來一直活躍。該組織利用“零日攻擊”主要針對國防、IT公司和通訊領域等,卡巴斯基將這類威脅稱為“神秘蝸牛(Mystery Snail)”。
卡巴斯基的安全研究員鮑里斯?拉林(Boris Larin)將該零日漏洞描述為“易于利用,且可以讓攻擊者獲得對裝備的完全控制權限。如果能夠成功利用此漏洞,攻擊者幾乎可以做任何事情。既可以竊取身份認證的憑據,也可以攻擊同一網絡上的其他設備,還能確保攻擊的持續性。”
值得慶幸的是,該漏洞的利用代碼并未公開,它僅被黑客組織秘密操作使用。但是,由于不知道誰會成為Iron Husky的攻擊對象(即任何人都有可能成為Iron Husky攻擊對象),因此建議緊急修補此漏洞。該漏洞存在于 Win32k 內核驅動程序中。它是操作系統最重要的部分之一。除了打補丁之外,沒有其它針對此漏洞的修復程序。
安全公司Breach Quest的CTO杰克?威廉姆斯(Jake Williams)解釋說:“雖然此次披露的零日漏洞不能被遠程利用,但也絕對不能被忽視。攻擊者們不會因為無法進行遠程攻擊而放棄。他們可以繞過端點控制并通過網絡釣魚攻擊或利用其它漏洞來執行惡意操作。遠程攻擊的可能與不可能不再是判斷攻擊難度的因素。”
此外,他還強調說,“漏洞利用代碼尚未公開的事實也不是令人放心的因素。如果原來的攻擊者利用該漏洞,其他攻擊者也會開始利用。我曾多次遇到過,先進的攻擊工具、技術訣竅、戰略戰術或代碼被傳遞給其他網絡犯罪組織,并由具有更高攻擊技能的APT組織升級。這是一個永遠存在的趨勢,什么時候普及,只是時間問題。”
值得注意的是,在此次定期補丁發布前微軟就披露并修復了3個零日漏洞。與上述零日漏洞不同,這3個漏洞目前尚未在實際攻擊中被利用。它們分別是:
1)CVE-2021-40469:在Windows DNS服務器中發現的遠程代碼執行漏洞。
2)CVE-2021-41335:在Windows內核發現的特權提升漏洞。
3)CVE-2021-41338:在Windows App Container防火墻中發現的安全功能繞過漏洞。
微軟認為,這3個漏洞雖然被分類為“零日漏洞”,但實際應用于攻擊的概率較低。
此外,美國國家安全局(NSA)認為此次修復的漏洞中一個值得注意的漏洞是CVE-2021-26427。這是在Microsoft Exchange服務器中發現的新漏洞。Exchange服務器是今年最熱門的IT基礎設施組件之一,幾乎全年都在不斷受到黑客的攻擊。值得注意的是,攻擊者要想利用該漏洞必須和受害者處于同一個本地網絡中。
今年夏天持續出現問題的Print Spooler組件中再次發現了新漏洞——CVE-2021-36970。雖然這不是一個嚴重的漏洞,但它被標記為“更具可利用性”。這是一個可以進行一種欺騙攻擊的漏洞,就像今年發現的另一個打印后臺處理程序漏洞“打印噩夢(Print Nightmare)”一樣,它很可能被主動利用而造成傷害。安全研究員ollypwn在推特上發帖指出:欺騙性漏洞攻擊者可以冒充或被識別為另一個用戶,并通過濫用Spooler服務將任意文件上傳至其它服務器。
其它值得注意的漏洞還包括影響Windows Hyper-V(CVE-2021-38672和CVE-2021-40461)、SharePoint服務器(CVE-2021-40487和CVE-2021-41344)和Microsoft Word(CVE-2021-40486)的遠程代碼執行漏洞,以及富文本編輯控制(CVE-2021-40454)的信息泄露漏洞等。
Adobe共修補了10個漏洞
專門從事圖形解決方案的Adobe在近期常規補丁日修補了10個安全漏洞,其中4個漏洞被歸類為致命風險。受這些漏洞影響的Adobe產品包括Acrobat、Reader、Connect、Commerce、Ops-cli和 Campaign Standard等。但是,Adobe方面認為這些漏洞被實際利用的可能性很低。
“
首先,修補了Acrobat和Reader(適用于Windows和Mac OS)中的四個漏洞,它們分別是:
1)CVE-2021-40728:任意代碼執行漏洞
2)CVE-2021-40731:任意代碼執行漏洞
3)CVE-2021-40729:特權提升漏洞
4)CVE-2021-40720:特權提升漏洞
其中,1號和2號漏洞分別因為會出現UaF和越界(Out of Bounds)錯誤,而被歸類為具有致命風險的漏洞。3號和4號漏洞被歸類為具有中等風險的漏洞。
其次,在Campaign Standard 產品(適用于Windows和Linux系統)中發現并修補了一個跨站腳本攻擊(XSS)漏洞。據分析,該漏洞也具有致命風險。
再次,在Connect產品中也發現并修補了一個XSS漏洞,但經分析,該漏洞在本產品中并不致命。在 Connect 中還發現的另一個漏洞——代碼執行漏洞,具有致命風險。這是一個與不可靠數據的反序列化相關的漏洞。 此外,與數據反序列化相關的漏洞還出現在Adobe Ops-cli中。據悉,Adobe的Ops-cli是一個基于 Python 的開源rapper,只在Adobe內部使用。
最后,在Adobe Commerce產品中也發現了一個XSS的漏洞。雖然該漏洞是一個”存儲型XSS(Stored XSS)“漏洞,但它最終被歸類為高危風險漏洞。Adobe警告說,該漏洞可能是一個非常危險的漏洞,因為它可以在不經過身份驗證程序的情況下被利用。
在此次Adobe修補的10個漏洞中,目前尚未發現被攻擊者利用的跡象。即使一些漏洞存在致命風險,但Adobe分析認為,這些漏洞實際利用的可能性很低。盡管如此,對于擁有Acrobat Reader產品的用戶來說,由于該產品用戶數量較多,很可能會引起攻擊者的關注,因此及時修復補丁才會比較安全。
結語
研究表明,操作系統和應用軟件的漏洞,經常會成為黑客攻擊的突破口。解決漏洞問題最直接最有效的辦法就是打補丁。但打補丁是比較被動的方式,對于企業來說,收集、測試、備份、分發等相關的打補丁流程仍然是一個頗為繁瑣的過程,甚至有的補丁本身就有可能成為新的漏洞。
為解決補丁管理上的混亂,首先需要建立一個覆蓋整個網絡的自動化補丁數據庫;其次是部署一個分發系統,提高補丁分發效率。另外,不僅是補丁管理程序,整個漏洞管理系統還需要與企業的防入侵系統、防病毒系統等其他安全系統集成,從而構筑一條完整的風險管理防線。
由此可見,無論對于政府部門、企業組織,還是個人來說,及時更新程序、打補丁修復漏洞是保障我們網絡安全的重要舉措之一。要養成良好的網絡安全習慣就讓我們從及時打補丁開始。今天您的程序更新了嗎?
