查看原文
其他

微软发布5月补丁星期二:3个0day,1个蠕虫

综合编译 代码卫士 2022-05-23

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士


微软发布5月补丁星期二,共修复了55个漏洞,其中4个是“严重”级别,3个是0day 漏洞。


3个 0day 已遭公开


今天修复的3个 0day 已公开,但并未有证据表明已遭利用。它们是:

  • CVE-2021-31204:.NET 和 Visual Studio 提权漏洞

  • CVE-2021-31207:微软 Exchange Server 安全功能绕过漏洞

  • CVE-2021-31200: 基础功能类库 (Common Utilities) 远程代码执行漏洞

CVE-2021-31200 漏洞存在于微软的 NNI(神经网络智能)开源工具集。该漏洞由 Resec System 团队的研究员 Abhiram V 从一个 GitHub commit 中发现。CVE-2021-31207 是2021年 Pwn2Own 黑客大赛中使用郭的漏洞。目前尚不清楚该漏洞是由 Devcore 团队还是 Team Viettel 团队发现的。


4个“严重”漏洞


本次修复的四个“严重”漏洞是 CVE-2021-31166、CVE-2021-26419、CVE-2021-28476和CVE-2021-31194。

CVE-2021-31166:HTTP 协议栈远程代码执行漏洞。趋势科技 ZDI 分析指出,CVE-2021-31166 可导致未认证攻击者以内核身份远程执行代码。攻击者仅需向受影响服务器发送特殊构造的数据包即可实施例用。因此这个漏洞是蠕虫漏洞,微软甚至也在 write-up 中提到了这一点。另外,由于Windows 10 也可被配置为 web 服务器,因此也受影响。该漏洞应该被列入用户的测试并部署清单。

  • CVE-2021-28476:Hyper-V 远程代码执行漏洞。ZDI 分析指出,该漏洞的CVSS评分是9.9分,是本次所修复漏洞中评分最高的漏洞。然而,微软指出攻击者更可能利用该漏洞以漏洞跟踪的形式引发拒绝服务后果而非代码执行。鉴于此,可以说该攻击的复杂性较高,因此CVSS评分可更改为8.5分。然而,它仍然属于高危漏洞而非严重级别。但是,单是漏洞跟踪本身就值得 Hpyer-V 系统尽快更新。

  • CVE-2021-31194:OLE 自动化远程代码执行漏洞。ZDI 分析指出,该漏洞涉及通过 Web 浏览器调用 OLE 自动化,需要攻击者诱骗受害者访问网站,实现代码执行。

  • CVE-2021-26419:脚本引擎内存损坏漏洞。ZDI 分析指出,该漏洞影响 IE 浏览器,也需要诱骗受害者访问网站。


其它漏洞

ZDI 还分析了 CVE-2021-27068 和 CVE-2020-24587 两个漏洞。

  • CVE-2021-27068:Visual Studio 远程代码执行漏洞。该漏洞是存在于 Visual Studio 2019 中的一个异常漏洞,可造成代码执行后果。它的不同寻常之处在于,无需任何用户交互即可遭利用,因此目前尚不清楚攻击者将如何利用该漏洞。不过似乎攻击者确实需要在某种程度上进行验证,但攻击复杂性交底。运行Visual Studio的开发人员尤其应该打补丁。

  • CVE-2020-24587:Windows 无线网络信息泄露漏洞。ZDI分析指出,通常不会特别分析信息泄露漏洞,但该漏洞的潜在风险巨大。该漏洞可导致攻击者披露受影响系统上的加密无线数据包内容。目前尚不清楚这类攻击的范围,但应该需要某种接近才能实现。该漏洞的编号是2020,可以看到微软修复该漏洞确实花了一些时间。

ZDI 还在博客中指出,Exchange 补丁较多,其中某些漏洞和近期举行的 Pwn2Own 黑客大赛有关。其中两个补丁修正的是远程代码执行漏洞。这些漏洞看似源自 Pwn2Own 大赛,但大赛中使用的 exploit 并不需要用户交互。微软的 write-up 确实在 CVSS 评分中列出了用户交互,然而也可能只是对该利用链进行评分。在大赛的多漏洞利用链中还使用了一个欺骗漏洞和安全特征绕过漏洞。鉴于大赛中发现的所有 Exchange 漏洞并未得到全部解决,因此后续微软应该会发布更多和 Exchange 相关的漏洞补丁。ZDI 指出后续将联合微软给出相关澄清。






推荐阅读
详细分析微软“照片”应用图像编码器漏洞 (CVE-2020-17113)
奇安信代码安全实验室帮助微软修复远程内核级漏洞,获官方致谢
Pwn2Own 2021温哥华黑客大赛落幕  3个团队并列 Master of Pwn




原文链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2021-patch-tuesday-fixes-55-flaws-3-zero-days/

https://www.zerodayinitiative.com/blog/2021/5/11/the-may-2021-security-update-review




题图:Pixabay License


本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存