微软11月补丁星期二值得关注的6个0day及其它
编译:代码卫士
概要
微软在11月补丁星期二共修复了55个漏洞,其中6个是0day且均已遭利用。在这55个漏洞中,6个是“严重”等级,49个是“重要”等级。跟往年的11月补丁星期二相比,本次修复的漏洞数量相对较少。
CVE-2021-42321:微软 Exchange Server 远程代码执行漏洞。微软指出该 Exchange 漏洞目前正遭活跃利用,不过需要认证后才能实施利用。上个月,该漏洞用于天府杯黑客大赛中。和遭在野利用的所有 Exchange 漏洞一样,建议Exchange 管理员尽快测试并部署相关补丁。微软还发布相关协助指南:https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169
CVE-2021-42292:由微软威胁情报中心发现的 Excel 安全特性绕过漏洞。当用户通过受影响的 Excel 版本打开特殊构造文件时即可执行代码。该漏洞可能是因为加载代码本应在提示符之后但提示符并未出现,从而导致该安全特性遭绕过。虽然目前尚不清楚是否为恶意宏还是表单内加载的代码形式,但用户应在打开附件时多加小心。对于 Mac 版本的 Office 用户而言,因为目前尚不存在针对 Mac 版本的补丁,而必须等待后续更新。有意思的是,微软称该漏洞正遭利用,但CVSS评估将exploit代码的成熟度标记为“概念验证”。
除了上述两个0day 外,微软还修复了4个0day,它们是:
CVE-2021-38631和CVE-2021-41371,均为RDP 信息泄露漏洞、
CVE-2021-43208和CVE-2021-43209,均为3D Viewer RCE。
CVE-2021-26443:微软虚拟机总线 (VMBus)远程代码执行漏洞。Guest 虚拟机用户能够将 VMBus 新导上的特殊构造的通信发送至主机操作系统,导致底层主机上的任意代码执行后果。该漏洞的CVSS评分为9.0,从CVE编号来看,微软应该已经在几个月前就知道该漏洞存在。
CVE-2021-38666:远程桌面客 (RDP) 户端RCE漏洞。虽然该漏洞的严重程度比不上 RDP Server 中漏洞的严重程度,但仍然值得优先关注。如攻击者能诱骗用户连接至恶意 RCP 服务器,则可在连接的 RDP 客户端系统上执行代码。虽然该漏洞的严重程度不及 Bluekeep 类型漏洞,但仍然值得持续关注。
在余下的“严重”级别漏洞中,Chakra 和 Dynamics(本地版)漏洞脱颖而出。Chakra 补丁修复了可导致攻击者在受影响系统中(通常是browse-and-own 或Open-and-open-and-own场景)执行恶意代码。微软并未说明如何在 Dynamics 上实现代码执行,不过鉴于Dynamics 管理的基础设施和供应链类型,应当严肃对待该严重级别的漏洞。对于断开互联网连接的人员而言应当关注 Defender 补丁,其他人可能无需采取措施。微软会定期更新 Defender,因此如果系统联网,则应该已经收到更新。同时应当验证相关版本并在必要时应用该更新。另外,微软还更新了8月份发布的 OpenSSL 补丁,这意味着如果你在使用开源代码,则应该确保使用的是最新的最安全版本。
再来看其它代码执行漏洞,其中两个(CVE-2021-43208和CVE-2021-43209)存在于 3D Viewer 中。这两个漏洞是ZDI研究员报告的但由于微软未在ZDI要求的期限内修复,因此ZDI已将漏洞细节公开,因此微软称它们是“公开已知”状态。其它代码执行漏洞多数存在于 Office 的一个组件中。在这些情境中,打开特殊构造的文件即可导致代码执行。最后一个代码执行漏洞位于 NTFS 中,但微软并未说明该漏洞如何可造利用。微软指出无需用户交互即可利用,但又将向量列为“本地”,这就排除了 open-and-own以及browse-to-a-remote-folder向量。该漏洞是由参加刚刚过去的2021年奥斯汀大赛的 THEORI团队发现并报告的,希望他们之后会公开更多详情。
本次还修复了20个提权漏洞,最严重的漏洞影响 NTFS、活动目录域名服务和 Azure RTOS。NTFS 漏洞的说明令人困惑,因为微软指出无需用户交互但仍然列为本地向量且需低权限。NTFS RCE 漏洞的情况也是如此,因此尚不清楚二者是否为同一个漏洞。ADDS 补丁也不应忽视,因为它可使攻击者更容易地进行横向移动。目前虽然尚不清楚有多少人在使用 Azure RTOS,但他们之后的路似乎比较艰难,因为不是仅仅应用补丁即可,而是需要通过更新后的 USBX 源代码重新编译项目,之后重新部署新代码;否则,如果攻击者插入恶意USB设备在,则可导致提权后果。余下的提权补丁修复的漏洞较为常见,攻击者需要登录系统并运行恶意代码才能利用受影响组件。
本月还修复了不少信息泄露漏洞。首先是 Azure RTOS 的三个补丁,不过微软并未说明泄露的是何种类型的信息。阻止恶意USB攻击仍然需要重新编译和重新部署。更让人担心的是,RDP 中存在两个“公开已知漏洞”(CVE-2021-38631和CVE-2021-41371),可导致攻击者读取RDP管理员的 Windows RDP 客户端密码。这对于内部威胁而言发生了根本改变,因为我们都知道用户“永远不”复用密码。
FSLogix 中也修复了一个RDP漏洞,它可导致攻击者通过 FSLogix Cloud 缓存暴露重定向至配置或 Office 容器的用户数据,包括用户资料设置和文件。让人吃惊的是,这10个信息泄露漏洞中仅有1个可导致未指定内存内容泄露后果。
Azure Sphere 设备受三个信息泄露漏洞影响,不过这些设备如联网则应该已经收到自动更新。另外,这些设备还修复了一个篡改漏洞,如已联网则会收到自动更新。
在拒绝服务漏洞中最重要的是影响 Windows 而非其子组件的漏洞。无需权限的攻击者可在所有受支持的 Windows版本(包括Windows 11) 中创建拒绝服务条件。目前尚不清楚漏洞如遭利用是否会导致系统挂起或重启,但无论是哪种后果,大家都不应该忽视这个具有影响力的拒绝服务漏洞。其它两个漏洞影响 Hyper-HV,其中一个要求启用 GRE。
除了之前提到的 Excel 漏洞外,11月还修复了另外一个安全特性绕过漏洞。该漏洞影响 Windows 10和Server 2019系统上的 Windows Hello。虽然详情未披露,但从组件和影响来看,该漏洞可使攻击者在无需使用PIN、面部识别或指纹的情况下访问受影响系统。如使用该特性进行认证,则可能需要在系统修复前先禁用它。
最后,本次补丁星期二还修复了4个欺骗漏洞,其中一个是由8名研究人员发现的 Exchange 欺骗漏洞。微软并未提及这些Exchange 欺骗漏洞的类型。不过微软倒是提到 Power BI Report Server 的补丁修复的是一个XSS漏洞和位于模板文件中的CSRF漏洞。
微软9月补丁星期二值得关注的0day、终于落幕的 PrintNightmare及其它
微软8月补丁星期二值得关注的几个0day、几个严重漏洞及其它
https://www.zerodayinitiative.com/blog/2021/11/9/the-november-2021-security-update-review
https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2021-patch-tuesday-fixes-6-zero-days-55-flaws/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。