在9月的补丁星期二发布的一系列安全补丁中,微软发布了66个CVE补丁,其中三个被列为微软四级分类系统中的主要补丁。(严重)评级,称为WindowsMSHTML的三个零日漏洞之一已被积极利用近两周。另一个错误被列为众所周知但尚未被利用。ImmersiveLabs网络威胁研究总监KevinBreen观察到,只有一个CVE在野外被积极利用。这些漏洞存在于MicrosoftWindows和Windows组件、MicrosoftEdge(Chromium、iOS和Android)、Azure、Office和Office组件、SharePointServer、MicrosoftWindowsDNS和适用于Linux的Windows子系统中。本次修补的66个新CVE中,3个为Critical,62个为Important,1个为Moderate。在2021年过去的九个月里,这是微软第七次发布少于100个CVE补丁,这与2020年形成鲜明对比,当时微软花了八个月的时间每月发布超过100个CVE补丁。CVE补丁。但是,正如零日计划所指出的那样,虽然漏洞总数较低,但严重程度却有所提高。一些观察家认为,本月补丁的最高优先级是修复cve-2020-40444:微软MSHTML(Trident)引擎中的一个重要漏洞,其CVSS评分为8.8(满分10)。在9月7日披露的信息中,研究人员开发了许多概念验证(PoC)漏洞利用,展示了利用它的难易程度,并且攻击者一直在分享利用它的指南。被积极利用:CVE-2021-40444自从这个易于利用的关键漏洞被积极利用以来已经将近两周了,而且自从攻击者共享执行该漏洞利用的蓝图以来已经将近一周了。微软上周表示,该漏洞可能会让攻击者“制作恶意ActiveX控件,用于托管浏览器渲染引擎的MicrosoftOffice文档”,然后“攻击者将不得不说服用户打开恶意文档。不幸的是,恶意宏攻击继续猖獗:例如,在7月,长期使用MicrosoftExcel的用户成为恶意软件活动的目标,该活动使用新颖的恶意软件混淆技术来禁用恶意宏警告并传播ZLoader特洛伊木马。攻击者需要说服用户打开包含攻击代码的特制MicrosoftOffice文档。Tenable的研究工程师SatnamNarang通过电子邮件指出,有警告称此漏洞将被纳入恶意软件有效负载并用于传播勒索软件:有充分的理由将该补丁放在优先级列表的首位。Narang告诉Threatpost:“目前还没有迹象表明这已经发生,但是随着补丁的发布,组织应该优先考虑尽快更新他们的系统。9月8日,星期三,英国时装零售商Arcadia的安全运营主管KevinBeaumontGroup和前微软高级威胁情报分析师指出,该漏洞已经存在了大约一周或更长时间。更糟糕的是,上周四,9月9日,威胁参与者开始分享WindowsMSHTML0day漏洞利用和PoC。BleepingComputer试了一下,发现这些指南“易于遵循并允许任何人创建他们自己的漏洞利用版本。”,“包括用于分发恶意文档和CAB文件的Python服务器。该出版物用了15分钟来重现该漏洞。一周前,即9月7日星期二,微软和网络安全与基础设施安全局(CISA)敦促缓解远程代码执行(RCE)漏洞,该漏洞存在于所有现代Windows操作系统中。上周,该公司没有过多提及MSHTML(又名Trident)中的漏洞,MSHTML是自20多年前InternetExplorer首次亮相以来内置于Windows中的HTML引擎。它允许Windows读取和显示HTML文件。然而,微软确实表示它知道有针对性的攻击试图通过特制的MicrosoftOffice文档来利用它。虽然当时没有针对该漏洞的安全更新可用,但微软继续披露并发布缓解措施以帮助防止利用该漏洞。无法缓解此漏洞(跟踪为CVE-2021-40444)的缓解措施严重到足以让CISA发送建议来提醒用户和管理员,并建议他们使用Microsoft推荐的缓解措施和变通办法——缓解措施试图在Windows上传递资源管理器。不幸的是,这些缓解措施被证明并非万无一失,因为包括Beaumont在内的研究人员设法修改了漏洞利用程序以不使用ActiveX,从而有效地绕过了Microsoft的缓解措施。零日计划表示,目前最有效的防御措施是“应用补丁并避免接收您不想接收的Office文档”。请务必仔细检查并安装您的设置所需的任何补丁:特定平台列表的更新很长,不要让您的保护层太薄。这个错误的发现归功于MSTIC的RickCole;来自Mandiant的BryceAbdo、DhaneshKizhakkinan和GenweiJiang以及来自EXPMON的HaifeiLi。最严重的错误CVE-2021-38647:开放式管理基础设施中的高危远程代码执行(RCE)漏洞,最严重的错误——或者至少是具有最高严重等级的错误,CVSS评分为9.8。OMI:一个开源项目,用于进一步开发DMTFCIM/WBEM标准的生产质量实施。“此漏洞不需要用户交互或权限,因此攻击者只需向受感染系统发送特制消息即可在受感染系统上运行他们的代码,”ZeroDayInitiave解释说,使其成为高优先级:ZDI推荐OMI用户快速测试和部署它。PrintNightmare补丁较多微软还修补了WindowsPrintSpooler中的三个提权漏洞(CVE-2021-38667、CVE-2021-38671和CVE-2021-40447),均被评为重要。这是继PrintMonthmary于6月披露后针对Windows打印后台处理程序缺陷的一系列三个补丁中的最新补丁。这可能不会是3月的最后一个补丁:Tenable的Narang告诉Threatpost,“研究人员继续寻找利用PrintSpooler的方法”,该公司希望“继续在这个领域进行研究”。在今天的三个修复程序中,只有一个CVE-2021-38671被评为“更有可能被利用”。无论如何,组织应该优先修补这些缺陷,因为“它们对攻击者在后利用阶段非常有价值。”Immersive的Breen告诉Threatpost,WindowsCommonJournaledFileSystemDriver更“更有可能被利用”,.:“本地priv-esc漏洞是几乎所有成功网络攻击的关键组成部分,特别是对于那些滥用此类漏洞以获得最高级别访问权限的人,例如勒索软件运营商。”“这使他们能够禁用防病毒软件、删除备份,并确保他们的加密程序能够访问最敏感的文件。”一个明显的例子出现在5月,当时发现数亿戴尔客户面临内核特权漏洞的风险。这些漏洞隐藏了12年,可能允许攻击者绕过安全产品、执行代码并移动到网络的其他部分进行横向移动。微软周二修补的三个漏洞并非遥不可及,这意味着攻击者需要通过其他方式实现代码执行。其中一种方法是通过CVE-2021-40444。另外两个漏洞——CVE-2021-38639和CVE-2021-36975,都是Win32k权限提升漏洞——也被列为“更有可能被利用”并涵盖所有受支持的Windows版本。特权升级漏洞的严重性风险不如RCE漏洞高,但“这些本地漏洞可能是经验丰富的攻击者在后利用阶段的关键,”Breen说。“如果你能在这里阻止他们,你可能会大大限制他们的伤害。他补充说,“如果我们假设坚定的攻击者能够通过社会工程或其他技术感染受害者的设备,我认为修补priv-esc漏洞甚至比修补其他一些远程代码执行漏洞更为重要。”RCE也很重要Virsec的首席架构师DannyKim毕业于微软操作系统安全开发团队时曾在微软工作,他希望安全团队关注CVE-2021-36965——一个关键的WindowsWLAN自动配置服务RCE漏洞-鉴于其严重性(CVSS:3.0基本分数为8.8)、无需特权提升/用户交互的可利用性以及受影响的Windows版本范围的组合。Windows10使用WLAN自动配置服务来单独选择加入计算机连接到无线网络和Windows脚本引擎的机制的一部分。此补丁修复了一个缺陷,该缺陷可能允许附近网络上的攻击者在系统级别的受影响系统上运行他们的代码。正如零日计划所解释的那样,这意味着攻击者可以“完全接管一个目标——只要他们在相邻的网络上。这在咖啡店攻击中会派上用场,在这种情况下,多人正在使用一个不安全的Wi-Fi网络。这“特别令人震惊”,Kim说:“想想SolarWinds和PrintNightmare。”“最近的趋势表明,基于远程代码执行的攻击是最严重的漏洞,对企业的负面影响最大,因为我们看到了Solarwinds和PrintNightmare攻击,”他在一封电子邮件中说。Kim表示,虽然目前尚未证实漏洞利用代码的成熟度,但已确认漏洞存在,为攻击者留下了可乘之机。“这取决于攻击者在同一个网络中,所以看到这个漏洞与另一个CVE/exploitation组合被用来实现攻击者的最终目标也就不足为奇了。“远程代码执行攻击可能导致未经身份验证的进程在服务器工作负载上运行,这只会凸显持续、确定性运行时监控的必要性。”如果没有这种保护,RCE攻击可能会导致公司数据的机密性和完整性完全丧失。零日计划也发现了这个令人担忧的问题。尽管它需要接近目标,但不需要特权或用户交互,所以“不要让这个错误的相邻方面降低严重性”。""一定要快速测试和部署这个补丁。不要忘记给Chrome打补丁,Breen通过电子邮件告诉Threatpost,安全团队还应该注意Chrome中打补丁并移植到微软基于Chrome的Edge的25个漏洞。有价值的东西的窗口。“我不能低估给浏览器打补丁并保持最新状态的重要性,”他强调说。“毕竟,浏览器是我们与包含各种高度敏感、有价值和私人信息的Internet和基于Web的服务交互的方式。无论您是在考虑您的在线银行业务,还是您组织的Web应用程序收集的数据和存储,它们都可以通过利用浏览器的攻击暴露出来。”本文翻译自:https://threatpost.com/microsoft-patch-tuesday-exploited-windows-zero-day/169459/
