微软12月补丁星期二值得关注的6个0day及其它

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

12月初，微软修复了16个Edge（基于 Chromium）漏洞，并在今天修复了67个位于如下组件中的新漏洞，共计83个：Microsoft Windows and Windows Components、ASP.NET Core and Visual Studio、Azure Bot Framework SDK、 Internet Storage Name Service、Defender for IoT、Edge (Chromium-based)、Microsoft Office and Office Components、SharePoint Server、PowerShell、Remote Desktop Client、Windows Hyper-V、Windows Mobile Device Management、 Windows Remote Access Connection Manager、TCP/IP和 the Windows Update Stack。

在这67个漏洞中，包括：

截至目前，微软在2021年共计修复了887个漏洞，比2020年下降了29%，Edge浏览器（基于Chromium）漏洞不包含在内。从最近发布的报告来看，微软漏洞奖励计划收到的漏洞报告数量基本一样。目前尚不清楚微软是否将多个漏洞提交报告合并到单个CVE编号中，或者会把大量漏洞积压2022年发布。

在今天所修复的CVE漏洞中，其中7个被评级为“严重”等级，60个被评级为“重要”级别。其中，6个0day中有1个已遭利用。另外值得关注的还有由奇安信代码安全实验室研究员发现的严重漏洞等。

这6个0day 中，CVE-2021-43890已遭利用：

漏洞CVE-2021-43890位于AppX 安装程序中，影响 Windows。微软指出已发现 Emotete/Trickbot/Bazaloader 家族正在利用该漏洞。攻击者需要构造恶意附件，说服用户打开该附件执行钓鱼攻击。成功利用该漏洞将导致发生已登录用户级别的代码执行后果，因此攻击者可能会结合利用其它漏洞以控制系统。该恶意软件家族已存在一段时间，之后可能还会停留更久。

（1）CVE-2021-43215：iSNS Server 远程代码执行漏洞

该漏洞由奇安信代码安全实验室研究员发现，CVSS v3 评分为9.8分。奇安信代码安全实验室此次还为微软发现了其它多个漏洞，获得微软官方致谢。CVE-CVE-2021-43215 存在于Internet 存储名称服务 (iSNS) 服务器中，攻击者可通过向受影响服务器发送特殊构造请求的方式执行远程代码。iSNS 协议可使攻击者在 TCP/IP 存储网络上自动发现并管理 iSCSI 设备。换句话说，如果企业中运行SAN，则要么企业具有一个 iSNS 服务器，要么分别配置每个逻辑接口。该漏洞是微软在本月修复的三个9.8评分的漏洞之一。SAN用户应优先测试并部署该补丁。

（2）CVE-2021-43899：Microsoft 4K Wireless Display Adapter 远程代码执行漏洞

该漏洞可导致未认证攻击者在受影响设备上执行代码。攻击者如在和 Microsoft 4K Display Adapter 同样的网络上则可向受影响设备发送特殊构造的数据包。该漏洞的修复难度大。用户需要从微软商店下载 Microsoft Wireless Display Adapter 应用程序并安装到和 Microsoft 4K Wireless Display Adapter 联网的系统上。之后攻击者才可利用该 app 的“更新和安全“部分下载最新固件版本以缓解该漏洞。这是微软本月修复的第二个CVSS评分为9.8的漏洞。

（3）CVE-2021-43907：Visual Studio Code WSL 扩展远程代码执行漏洞

该漏洞是本月修复的第三个CVSS 评分为9.8 的漏洞。受影响组件可使用户使用 Windows Subsystem for Linux (WSL) 作为Visual Studio Code 的专门开发环境。该组件可使用户在基于 Linux 的环境中开发，使用Linux 特定的工具链和工具，以及从 Windows 内运行并调试基于 Linux 的应用程序。DevOps 社区的很多人都在使用这种跨平台功能。补丁修复了该扩展中的远程代码执行漏洞，但微软并未具体说明代码执行产生的方式。不过微软确实将其列为未认证漏洞且无需用户交互，因此用户需要快速测试并部署该修复方案。

（4）CVE-2021-42309：Microsoft SharePoint Server 远程代码执行漏洞

该漏洞可导致用户在服务账户的上下文中提权并执行代码。攻击者需要 SharePoint 网站的“管理清单“权限才能执行攻击，但在默认情况下，任何授权用户可创建具有完全权限的新网站。该漏洞可导致攻击者绕过针对运行服务器短 web 控制的限制。该漏洞类似于此前修复的CVE-2021-28474。然而，在这种情况下，不安全的控制在受允许控制资产中被“走私”。

在余下的漏洞中，10个Microsoft Defender for IOT的补丁（一个“严重”级别一个“重要”级别“）脱颖而出。其中一个严重性较高的漏洞位于密码重置机制中。密码重置请求由一个签名的JSON文档、一个签名证书以及一个用于签名该签名证书的中间证书组成。该中间证书应为内置于设备中CA根证书的组成部分。鉴于该流程中存在缺陷，攻击者可重置其他人的密码。修复这些漏洞要求系统管理员对设备本身采取措施。该漏洞已存在自动更新。

在其它“严重“级别的漏洞中，还存在一个RDP漏洞，不过它位于服务器的客户端。Microsoft Office app 中存在一个漏洞，可导致未认证远程代码执行后果，不过目前尚不清楚如何实现，微软只是提到需要用户交互。微软应用商店可能会进行自动更新，但如果仅用了自动更新功能，则需要手动更新。最后一个“严重”级别漏洞影响 Windows 加密文件系统 (EFS)。攻击者可触发缓冲区溢出，导致未认证的非沙箱代码执行后果，即使当时EFS服务并不运行也不例外。EFS服务未运行时，EFS接口可触发其启动。

在余下的远程代码执行漏洞中，值得关注的是存在于 HEVC 视频扩展中的一些漏洞，等同于open-and-own 或 browse-and-own 漏洞。类似于 Office app，该更新将通过 Windows Store 发布。如果用户已禁用 Store 更新或在断网环境，则需要使用 Microsoft Store for Business 或 Microsoft Store for Education。Web Media Extensions 也是如此。虽然Office 应用程序中存在一些RCE漏洞，但它们通过正常方法获得更新。Windows Fax 服务也是如此，这说明一些人仍然在使用传真。

在所解决的21个提权漏洞中，5个是公开已知漏洞。微软并未说明这些漏洞遭公开披露的信息或者在何处披露。这些漏洞要求攻击者登录受影响系统并运行特殊构造的应用程序进行提权。安全研究员 Abdelhamid Naceri 提交了一些值得注意的提权漏洞。第一个存在于 Windows Remote Access 中，第二个存在于Windows Update Assistant 中。通过创建目录连接，攻击者可滥用 Windows Update Assistant 更改任意文件上的DACL。攻击者可利用该漏洞进行提权并在系统上下文中执行代码。

本次修复的10个信息泄露漏洞中，9个可导致未指定内存内容泄露。然而，对于Microsoft Defender for IOT 中的信息泄露漏洞，攻击者能够泄露设备安全信息，如安全评分、过时的操作系统以及恶意软件感染等。

微软修复了位于 Hyper-V、SymCrypt 和 DirectX Graphics 组件中的三个拒绝服务漏洞，不过并未披露详情。

微软还修复了7个欺骗漏洞。其中Microsoft Office Trust Center 中的漏洞需要多个补丁才能解决。好在这些补丁没有先后顺序之分。其它欺骗漏洞位于 SharePoint 和 PowerShell 中，不过并未发布任何详情。

微软将于2022年1月11日发布下一个补丁星期二。