信息化觀察網(wǎng)

在9月的Patch Tuesday發(fā)布的一系列安全補丁中，微軟發(fā)布了66個CVE的補丁，其中三個被列為微軟四級劃分系統(tǒng)中的重大(critical)等級，這三個之中一個名為Windows MSHTML的0day漏洞已經(jīng)受到了近兩周的積極攻擊。

另一個bug被列為公開已知但尚未被利用。Immersive Labs的網(wǎng)絡(luò)威脅研究主管Kevin Breen觀察到，只有一個CVE在野外受到積極攻擊。

這些漏洞存在于Microsoft Windows和Windows組件、Microsoft Edge（Chromium、iOS和Android）、Azure、Office和Office組件、SharePoint Server、Microsoft Windows DNS和適用于Linux的Windows子系統(tǒng)中。

這次修補的66個新CVE中，三個被評為重大（Critical），62個被評為重要（Important），一個被評為中等（Moderate）。

在2021年的過去9個月中，這是微軟第7個次修補不到100個CVE補丁，這與2020年形成鮮明對比，當(dāng)時雷德蒙德花費了8個月的時間每月發(fā)布超過100個CVE補丁。但是，正如零日計劃所指出的那樣，雖然漏洞的總數(shù)較少，但嚴(yán)重性評級卻有所上升。

一些觀察家認(rèn)為，本月的補丁優(yōu)先級最高的是修復(fù)cve-2020-40444：微軟MSHTML（Trident）引擎上的一個重要漏洞，在CVSS等級上的評分為8.8（滿分10分）。

在9月7日披露的消息中，研究人員開發(fā)了許多概念驗證（PoC）漏洞，表明利用它是多么簡單，而且攻擊者一直在分享有關(guān)利用的指南。

受到積極攻擊：CVE-2021-40444

自從這個嚴(yán)重的、易于利用的漏洞受到主動攻擊以來，已經(jīng)將近兩周了，距攻擊者分享執(zhí)行漏洞利用的藍圖也已經(jīng)將近一周了。

微軟上周表示，該漏洞可能讓攻擊者“制作一個惡意ActiveX控件，供托管瀏覽器渲染引擎的Microsoft Office文檔使用”，然后“攻擊者必須說服用戶打開惡意文檔。”不幸的是，惡意宏攻擊繼續(xù)盛行：例如，在7月，Microsoft Excel的老用戶成為惡意軟件活動的目標(biāo)，該活動使用新型惡意軟件混淆技術(shù)禁用惡意宏警告并傳播ZLoader木馬。

攻擊者需要說服用戶打開包含漏洞利用代碼的特制Microsoft Office文檔。

Tenable的研究工程師Satnam Narang通過電子郵件指出，有警告稱此漏洞將被納入惡意軟件有效payload并用于傳播勒索軟件：有充分的理由將該補丁放在優(yōu)先列表頂部。

Narang告訴Threatpost：“目前還沒有跡象表明這種情況已經(jīng)發(fā)生，但隨著補丁的發(fā)布，組織應(yīng)該優(yōu)先考慮盡快更新他們的系統(tǒng)。”

上周三，也就是9月8日，英國時尚零售商Arcadia Group安全運營中心負(fù)責(zé)人、微軟前任高級威脅情報分析師Kevin Beaumont指出，該漏洞已經(jīng)存在了大約一周或更長時間。

更糟的是，上周四，也就是9月9日，威脅行為者開始分享Windows MSHTML 0day漏洞利用方法和PoCs。BleepingComputer嘗試了一下，發(fā)現(xiàn)這些指南“簡單易懂并允許任何人創(chuàng)建他們自己的漏洞利用版本”，“包括用于分發(fā)惡意文檔和CAB文件的Python服務(wù)器。”

該出版物花了15分鐘的時間來重新創(chuàng)建漏洞利用。

一周前，也就是9月7日，星期二，微軟和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）敦促緩解遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，該漏洞存在于所有現(xiàn)代Windows操作系統(tǒng)中。

上周，該公司沒有過多提及MSHTML（又名Trident）中的漏洞，它是自20多年前Internet Explorer首次亮相以來內(nèi)置于Windows中的HTML引擎，它允許Windows讀取和顯示HTML文件。

然而，微軟確實表示，它知道有針對性的攻擊試圖通過特制的Microsoft Office文檔來利用它。

盡管當(dāng)時還沒有針對該漏洞的安全更新可用，但MIcrosoft還是繼續(xù)披露了它，并發(fā)布了旨在幫助防止漏洞利用的緩解措施。

不能緩解的緩解措施

該漏洞被跟蹤為CVE-2021-40444，其嚴(yán)重程度足以使CISA發(fā)送建議提醒用戶和管理員，并建議他們使用微軟推薦的緩解措施和解決方法——緩解措施試圖通過在Windows資源管理器中。

不幸的是，這些緩解措施被證明并非萬無一失，因為包括Beaumont在內(nèi)的研究人員設(shè)法修改了漏洞利用，使其不使用ActiveX，從而有效地繞過了Microsoft的緩解措施。

The Zero Day Initiative表示，目前最有效的防御是“應(yīng)用補丁并避免您不希望收到的Office文檔。”

請務(wù)必仔細(xì)檢查并安裝您的設(shè)置所需的所有補?。横槍μ囟ㄆ脚_有很長的更新列表，別讓你的保護層過于單薄。

此bug的發(fā)現(xiàn)歸功于MSTIC的Rick Cole；Mandiant的Bryce Abdo、Dhanesh Kizhakkinan和Genwei Jiang和來自EXPMON的Haifei Li。

最嚴(yán)重Bug

CVE-2021-38647：開放管理基礎(chǔ)設(shè)施中的一個高危的遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，最嚴(yán)重的bug——或者至少是嚴(yán)重性評級最高的bug，CVSS得分為9.8。

OMI：一個開源項目，旨在進一步開發(fā)DMTF CIM/WBEM標(biāo)準(zhǔn)的生產(chǎn)質(zhì)量實現(xiàn)。

Zero Day Initiave解釋說：“此漏洞不需要用戶交互或權(quán)限，因此攻擊者只需向受攻擊的系統(tǒng)發(fā)送特制的消息即可在受攻擊的系統(tǒng)上運行他們的代碼。”這使其具有高優(yōu)先級：ZDI建議OMI用戶快速測試和部署它。

還有更多PrintNightmare補丁

微軟還修補了Windows Print Spooler中的三個提權(quán)漏洞（CVE-2021-38667、CVE-2021-38671和CVE-2021-40447），都被評為重要（important）。

這是繼6月份PrintMonthmary被披露后，針對Windows打印后臺處理程序缺陷的一系列補丁中的三個最新補丁。這可能不會是游行中的最后一個補?。篢enable的Narang告訴Threatpost，“研究人員繼續(xù)尋找利用Print Spooler的方法”，并且該公司希望“繼續(xù)在該領(lǐng)域進行研究”。

在今天的三個修補程序中，只有一個CVE-2021-38671被評為“更有可能被利用”。無論如何，組織應(yīng)該優(yōu)先修補這些缺陷，因為“它們對于后漏洞利用階段的攻擊者來說非常有價值。”

更多“更有可能被利用”

Immersive的Breen告訴Threatpost，Windows通用日志文件系統(tǒng)驅(qū)動程序中的三個本地提權(quán)漏洞（CVE-2021-36955、CVE-2021-36963、CVE-2021-38633）也值得注意，它們都被列為“更有可能被利用。”

布林通過電子郵件說：“本地priv-esc漏洞是幾乎所有成功網(wǎng)絡(luò)攻擊的關(guān)鍵組成部分，特別是對于勒索軟件運營商等濫用此類漏洞以獲得最高訪問級別的人來說。”“這使他們能夠禁用防病毒軟件、刪除備份，并確保他們的加密程序可以訪問最敏感的文件。”

一個明顯的例子出現(xiàn)在5月份，當(dāng)時發(fā)現(xiàn)數(shù)億戴爾用戶面臨內(nèi)核權(quán)限漏洞的風(fēng)險。這些漏洞潛伏了12年未公開，可能允許攻擊者繞過安全產(chǎn)品、執(zhí)行代碼并轉(zhuǎn)移到網(wǎng)絡(luò)的其他部分進行橫向移動。

微軟周二修補的三個漏洞并非遙不可及，這意味著攻擊者需要通過其他方式實現(xiàn)代碼執(zhí)行。其中一種方式是通過CVE-2021-40444。

另外兩個漏洞——CVE-2021-38639和CVE-2021-36975，都是Win32k權(quán)限提升漏洞——也被列為“更有可能被利用”漏洞，并且涵蓋了所有受支持的Windows版本。

Breen說，特權(quán)升級漏洞的嚴(yán)重性風(fēng)險沒有RCE漏洞那么高，但“這些本地漏洞可能是有經(jīng)驗的攻擊者在后漏洞利用階段的關(guān)鍵。”“如果你能在這里阻止他們，你就有可能大大限制他們的損害。”

他補充說，“如果我們假設(shè)一個確定的攻擊者能夠通過社會工程或其他技術(shù)感染受害者的設(shè)備，我認(rèn)為修補priv-esc漏洞甚至比修補其他一些遠(yuǎn)程代碼執(zhí)行漏洞更重要。”

RCE也很重要

Danny Kim是Virsec的首席架構(gòu)師，他在畢業(yè)于微軟的操作系統(tǒng)安全開發(fā)團隊期間曾在微軟工作過，他希望安全團隊關(guān)注CVE-2021-36965——一個重要的Windows WLAN自動配置服務(wù)RCE漏洞——鑒于其嚴(yán)重程度的組合（CVSS：3.0基礎(chǔ)評分為8.8）、無需權(quán)限提升/用戶交互即可利用以及受影響的Windows版本范圍。

WLAN自動配置服務(wù)是Windows 10用來分別選擇計算機將連接到的無線網(wǎng)絡(luò)和Windows腳本引擎的機制的一部分。

該補丁修復(fù)了一個缺陷，該缺陷可能允許鄰近網(wǎng)絡(luò)的攻擊者在系統(tǒng)級別在受影響的系統(tǒng)上運行他們的代碼。

正如Zero Day Initiative所解釋的那樣，這意味著攻擊者可以“完全接管目標(biāo)——只要他們在相鄰的網(wǎng)絡(luò)上。”這在coffee-shop攻擊中會派上用場，因為在那里多人使用不安全的Wi-Fi網(wǎng)絡(luò)。

這“特別令人震驚”，Kim說：“想想SolarWinds和PrintNightmare。”

他在一封電子郵件中說：“最近的趨勢表明，基于遠(yuǎn)程代碼執(zhí)行的攻擊是對企業(yè)造成最大負(fù)面影響的最關(guān)鍵的漏洞，正如我們在Solarwinds和PrintNightmare攻擊中看到的那樣。”

Kim表示，盡管漏洞利用代碼的成熟度目前尚未得到證實，但該漏洞已被確認(rèn)存在，為攻擊者留下了漏洞。

“這取決于位于同一網(wǎng)絡(luò)中的攻擊者，因此看到此漏洞與另一個CVE/攻擊結(jié)合使用以實現(xiàn)攻擊者的最終目標(biāo)也就不足為奇了。”“遠(yuǎn)程代碼執(zhí)行攻擊可能導(dǎo)致未經(jīng)驗證的進程在服務(wù)器工作payload上運行，這只會凸顯對持續(xù)、確定性運行時監(jiān)控的需求。如果沒有這種保護，RCE攻擊可能會導(dǎo)致企業(yè)數(shù)據(jù)的機密性和完整性完全喪失。”

The Zero Day Initiative也發(fā)現(xiàn)了這個令人擔(dān)憂的問題。即使它需要接近目標(biāo)，它也不需要特權(quán)或用戶交互，所以“不要讓這個bug的相鄰方面降低嚴(yán)重性。”“一定要快速測試和部署這個補丁。”

不要忘記修補Chrome

Breen通過電子郵件告訴Threatpost，安全團隊還應(yīng)注意Chrome中修補并移植到微軟基于Chrome的Edge的25個漏洞。

他說，畢竟瀏覽器是了解隱私、敏感信息和任何對犯罪分子有價值事物的窗口。

他強調(diào)說：“我不能低估給瀏覽器打補丁并使其保持最新狀態(tài)的重要性。”“畢竟，瀏覽器是我們與包含各種高度敏感、有價值和私人信息的互聯(lián)網(wǎng)和基于web服務(wù)進行交互的方式。無論您是在考慮您的網(wǎng)上銀行業(yè)務(wù)還是您組織的網(wǎng)絡(luò)應(yīng)用程序收集和存儲的數(shù)據(jù)，它們都可能被利用瀏覽器的攻擊所暴露。”

本文翻譯自：https://threatpost.com/microsoft-patch-tuesday-exploited-windows-zero-day/169459/