微软补丁星期二修复6个已遭利用的0day和ProxyNotShell 0day

在已遭利用的6个0day中，有两个位于Exchange 中。它们是：

这两个0day 位于Exchange 中，目前已遭利用。虽然希望在上个月修复，但最终在11月发布。ZDI透露称这两个0day是该机构在9月份购买所得并在当时告知微软。不久后，这些0day在野检出。虽然微软已发布多份缓解建议，但最佳建议是测试并部署这些修复方案。

该漏洞位于Jscript 中，也已遭利用。攻击者需要诱骗用户访问特殊构造的网站或服务器共享，因此需要以已登录用户身份在受影响系统上执行代码。微软并未说明该漏洞的影响范围，但鉴于该漏洞是“浏览即拥有”类型的漏洞，因此预计很快会成为利用工具包中的热门漏洞。

Mark of Web (MoW) 旨在应用于从互联网下载的文件。这些文件应当被区别对待并在访问时收到安全警告对话框。该漏洞虽然已被列为已遭利用漏洞，但微软并未说明攻击的影响范围有多广。

由于威胁行动者还在挖掘广大的攻击面Windows Print Spooler，因此PrintNightmare 的遗产还在发挥作用。虽然从PrintNightmare开始已看到很多其它补丁，但该补丁列为已遭利用。虽然并未特别知名，但禁用print spooler应当是有效的应变措施。当然这样做会破坏打印，但如果无法应用补丁，这样做不失为一种选择。

该漏洞是位于“加密应用程序界面-下一代” (CNG) 中的一个提权漏洞。攻击者可利用该漏洞以系统权限运行代码。攻击者需要经过认证，这也是为何此类漏洞要和某种远程代码执行exploit组合利用的原因。和所有其它在野exploit一样，微软并未说明该漏洞的影响范围，但很可能此时正在遭利用。因此，用户需快速测试并部署安全更新。

微软还修复了位于Exchange 中的两个高危漏洞，它们被统称为“ProxyNotShell”且已遭在野利用。

攻击者结合利用这两个0day，在受陷服务器上部署Chinese Chopper web shell，维持持久性并盗取数据，以及在受害者网络中进行横向移动。微软在9月30日即证实这两个漏洞已遭利用，表示“发现这两个漏洞被用于入侵用户系统，发动有限的针对性攻击活动”。

这两个漏洞影响微软 Exchange Server 2013、2016和2019。它们可使攻击者提权，在系统上下文中运行 PowerShell 并获得任意代码执行或远程代码执行权限。作为已认证用户，攻击者可通过网络调用，在服务器账户上下文中触发恶意代码。这两个漏洞仅可由认证攻击者远程利用，但在低复杂度攻击中并不需要用户交互。建议管理员尽快修复这些漏洞。

题图：网络‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~