又到每月的漏洞補丁日了,很多國際廠商和微軟一樣,喜歡在周二發布其產品安全補丁,如Adobe、Android、Cisco、Citrix、Intel、Linux distributions Oracle Linux, Red Hat, SUSE、Samba、SAP、Schneider Electric、Siemens等。而這次微軟為其產品的55個漏洞發布了補丁,產品涉及 Microsoft Windows 和 Windows 組件、Azure、Azure RTOS、Azure Sphere、Microsoft Dynamics、Microsoft Edge(基于 Chromium)、Exchange Server、Microsoft Office 和 Office 組件、Windows Hyper-V等,其中包括對 Excel 和 Exchange Server 中兩個被積極利用的零日漏洞的修復。可能會被濫用以控制受影響的系統。
從歷史上看,今年的11 月份的 55 個補丁是一個相對較低的數字。去年,涉及的CVE漏洞數量則多的多,回到 2018 年全年僅修復 691 個 CVE 的情況,但當年11 月修復的 CVE 也比本月更多。鑒于 12 月通常是補丁方面較慢的月份,因此人們懷疑是否由于各種因素導致等待部署的補丁積壓。多年來,微軟在整個行業中只看到增加的補丁后,發布更少的補丁似乎很奇怪。
國外安全媒體在介紹Exchange Server 漏洞時,提到也是上個月在我國天府杯上展示的漏洞之一,最關鍵的漏洞是CVE-2021-42321(CVSS 評分:8.8)和CVE-2021-42292(CVSS 評分:7.8),每個都涉及Microsoft Exchange Server 中的認證后遠程代碼執行漏洞和安全繞過漏洞分別影響 Microsoft Excel 版本 2013-2021。在 55 個漏洞中有6 個被評為嚴重,49 個為重要,另外 4 個在發布時被列為公開已知。
微軟今年早些時候曾經警告說 APT Group HAFNIUM 正在利用Microsoft Exchange 服務器中的四個零日漏洞,這演變成 DearCry Ransomware 對 Exchange 服務器漏洞的利用——包括對傳染病研究人員、律師事務所、大學、國防承包商、政策智囊團和非政府組織的攻擊。諸如此類的實例進一步強調了 Microsoft Exchange 服務器是高價值目標希望滲透關鍵網絡的黑客。
四個公開披露但未被利用的漏洞——
CVE-2021-43208(CVSS 評分:7.8)——3D 查看器遠程代碼執行漏洞
CVE-2021-43209(CVSS 評分:7.8)——3D 查看器遠程代碼執行漏洞
CVE-2021-38631(CVSS 評分:4.4)——Windows 遠程桌面協議 (RDP) 信息泄露漏洞
CVE-2021-41371(CVSS 評分:4.4)——Windows 遠程桌面協議 (RDP) 信息泄露漏洞
首先是三個可能導致信息泄露的 Azure RTOS 補丁,盡管微軟沒有說明可以泄露什么類型的信息。同樣,需要重新編譯和重新部署才能阻止惡意 USB 攻擊。更令人不安的是,RDP 中有兩個公開的信息披露錯誤,可能允許 RDP 管理員讀取訪問 Windows RDP 客戶端密碼。
FSLogix 中修復了一個信息披露錯誤,可能允許攻擊者泄露通過 FSLogix 云緩存重定向到配置文件或 Office 容器的用戶數據,其中包括用戶配置文件設置和文件。令人驚訝的是,10 個信息披露錯誤中只有一個會導致由未指定內存內容組成的泄漏。
三個信息披露會影響 Azure Sphere 設備,但如果這些設備連接到 Internet,它們應該會自動接收更新。Azure Sphere 中還修復了一個篡改錯誤,但同樣,如果已連接到 Internet,則無需采取任何措施。
沒有權限的遠程攻擊者可以在所有受支持的 Windows 版本(包括 Windows 11)上創建 DoS。目前尚不清楚這是否會導致系統掛起或重啟,但無論哪種方式,都不要繞過這種有影響力的 DoS。另外兩個 DoS 錯誤會影響 Hyper-V,其中之一需要啟用 GRE。
除了已經提到的 Excel 錯誤之外,11 月僅修復了一個其他安全功能繞過 (SFB),會影響 Windows 10 和 Server 2019 系統上的 Windows Hello。沒有提供詳細信息,但僅從組件和影響來看,似乎有一種方法可以在不使用 PIN、面部識別或指紋的情況下訪問受影響的系統。如果您使用此功能進行身份驗證,您可能需要禁用它,直到您確定所有受影響的系統都已修補。
最后,11 月發布的版本包含對四個欺騙錯誤的修復,其中一個針對 Exchange,當您尋找它時必須很明顯,因為微軟承認八位不同的研究人員都報告了它。當然,他們沒有提供有關此補丁、其他 Exchange 欺騙錯誤或在 IE 模式下通過 Edge(基于 Chrome 的)欺騙錯誤修復的欺騙類型的信息。Microsoft 確實聲明 Power BI 報表服務器的修復程序解決了模板文件中的跨站點腳本 (XSS) 和跨站點請求偽造 (CSRF) 漏洞。
