又到每月的漏洞補(bǔ)丁日了,很多國(guó)際廠商和微軟一樣,喜歡在周二發(fā)布其產(chǎn)品安全補(bǔ)丁,如Adobe、Android、Cisco、Citrix、Intel、Linux distributions Oracle Linux, Red Hat, SUSE、Samba、SAP、Schneider Electric、Siemens等。而這次微軟為其產(chǎn)品的55個(gè)漏洞發(fā)布了補(bǔ)丁,產(chǎn)品涉及 Microsoft Windows 和 Windows 組件、Azure、Azure RTOS、Azure Sphere、Microsoft Dynamics、Microsoft Edge(基于 Chromium)、Exchange Server、Microsoft Office 和 Office 組件、Windows Hyper-V等,其中包括對(duì) Excel 和 Exchange Server 中兩個(gè)被積極利用的零日漏洞的修復(fù)。可能會(huì)被濫用以控制受影響的系統(tǒng)。
從歷史上看,今年的11 月份的 55 個(gè)補(bǔ)丁是一個(gè)相對(duì)較低的數(shù)字。去年,涉及的CVE漏洞數(shù)量則多的多,回到 2018 年全年僅修復(fù) 691 個(gè) CVE 的情況,但當(dāng)年11 月修復(fù)的 CVE 也比本月更多。鑒于 12 月通常是補(bǔ)丁方面較慢的月份,因此人們懷疑是否由于各種因素導(dǎo)致等待部署的補(bǔ)丁積壓。多年來,微軟在整個(gè)行業(yè)中只看到增加的補(bǔ)丁后,發(fā)布更少的補(bǔ)丁似乎很奇怪。
國(guó)外安全媒體在介紹Exchange Server 漏洞時(shí),提到也是上個(gè)月在我國(guó)天府杯上展示的漏洞之一,最關(guān)鍵的漏洞是CVE-2021-42321(CVSS 評(píng)分:8.8)和CVE-2021-42292(CVSS 評(píng)分:7.8),每個(gè)都涉及Microsoft Exchange Server 中的認(rèn)證后遠(yuǎn)程代碼執(zhí)行漏洞和安全繞過漏洞分別影響 Microsoft Excel 版本 2013-2021。在 55 個(gè)漏洞中有6 個(gè)被評(píng)為嚴(yán)重,49 個(gè)為重要,另外 4 個(gè)在發(fā)布時(shí)被列為公開已知。
微軟今年早些時(shí)候曾經(jīng)警告說 APT Group HAFNIUM 正在利用Microsoft Exchange 服務(wù)器中的四個(gè)零日漏洞,這演變成 DearCry Ransomware 對(duì) Exchange 服務(wù)器漏洞的利用——包括對(duì)傳染病研究人員、律師事務(wù)所、大學(xué)、國(guó)防承包商、政策智囊團(tuán)和非政府組織的攻擊。諸如此類的實(shí)例進(jìn)一步強(qiáng)調(diào)了 Microsoft Exchange 服務(wù)器是高價(jià)值目標(biāo)希望滲透關(guān)鍵網(wǎng)絡(luò)的黑客。
四個(gè)公開披露但未被利用的漏洞——
CVE-2021-43208(CVSS 評(píng)分:7.8)——3D 查看器遠(yuǎn)程代碼執(zhí)行漏洞
CVE-2021-43209(CVSS 評(píng)分:7.8)——3D 查看器遠(yuǎn)程代碼執(zhí)行漏洞
CVE-2021-38631(CVSS 評(píng)分:4.4)——Windows 遠(yuǎn)程桌面協(xié)議 (RDP) 信息泄露漏洞
CVE-2021-41371(CVSS 評(píng)分:4.4)——Windows 遠(yuǎn)程桌面協(xié)議 (RDP) 信息泄露漏洞
首先是三個(gè)可能導(dǎo)致信息泄露的 Azure RTOS 補(bǔ)丁,盡管微軟沒有說明可以泄露什么類型的信息。同樣,需要重新編譯和重新部署才能阻止惡意 USB 攻擊。更令人不安的是,RDP 中有兩個(gè)公開的信息披露錯(cuò)誤,可能允許 RDP 管理員讀取訪問 Windows RDP 客戶端密碼。
FSLogix 中修復(fù)了一個(gè)信息披露錯(cuò)誤,可能允許攻擊者泄露通過 FSLogix 云緩存重定向到配置文件或 Office 容器的用戶數(shù)據(jù),其中包括用戶配置文件設(shè)置和文件。令人驚訝的是,10 個(gè)信息披露錯(cuò)誤中只有一個(gè)會(huì)導(dǎo)致由未指定內(nèi)存內(nèi)容組成的泄漏。
三個(gè)信息披露會(huì)影響 Azure Sphere 設(shè)備,但如果這些設(shè)備連接到 Internet,它們應(yīng)該會(huì)自動(dòng)接收更新。Azure Sphere 中還修復(fù)了一個(gè)篡改錯(cuò)誤,但同樣,如果已連接到 Internet,則無需采取任何措施。
沒有權(quán)限的遠(yuǎn)程攻擊者可以在所有受支持的 Windows 版本(包括 Windows 11)上創(chuàng)建 DoS。目前尚不清楚這是否會(huì)導(dǎo)致系統(tǒng)掛起或重啟,但無論哪種方式,都不要繞過這種有影響力的 DoS。另外兩個(gè) DoS 錯(cuò)誤會(huì)影響 Hyper-V,其中之一需要啟用 GRE。
除了已經(jīng)提到的 Excel 錯(cuò)誤之外,11 月僅修復(fù)了一個(gè)其他安全功能繞過 (SFB),會(huì)影響 Windows 10 和 Server 2019 系統(tǒng)上的 Windows Hello。沒有提供詳細(xì)信息,但僅從組件和影響來看,似乎有一種方法可以在不使用 PIN、面部識(shí)別或指紋的情況下訪問受影響的系統(tǒng)。如果您使用此功能進(jìn)行身份驗(yàn)證,您可能需要禁用它,直到您確定所有受影響的系統(tǒng)都已修補(bǔ)。
最后,11 月發(fā)布的版本包含對(duì)四個(gè)欺騙錯(cuò)誤的修復(fù),其中一個(gè)針對(duì) Exchange,當(dāng)您尋找它時(shí)必須很明顯,因?yàn)槲④洺姓J(rèn)八位不同的研究人員都報(bào)告了它。當(dāng)然,他們沒有提供有關(guān)此補(bǔ)丁、其他 Exchange 欺騙錯(cuò)誤或在 IE 模式下通過 Edge(基于 Chrome 的)欺騙錯(cuò)誤修復(fù)的欺騙類型的信息。Microsoft 確實(shí)聲明 Power BI 報(bào)表服務(wù)器的修復(fù)程序解決了模板文件中的跨站點(diǎn)腳本 (XSS) 和跨站點(diǎn)請(qǐng)求偽造 (CSRF) 漏洞。
