微软修补被频繁利用的Windows 0 day漏洞-51CTO.COM

在9月的Patch Tuesday发布的一系列安全补丁中，微软发布了66个CVE的补丁，其中三个被列为微软四级划分系统中的重大(critical)等级，这三个之中一个名为Windows MSHTML的0day漏洞已经受到了近两周的积极攻击。

[[425758]]

另一个bug被列为公开已知但尚未被利用。Immersive Labs的网络威胁研究主管Kevin Breen观察到，只有一个CVE在野外受到积极攻击。

这些漏洞存在于Microsoft Windows和Windows组件、Microsoft Edge(Chromium、iOS和Android)、Azure、Office和Office组件、SharePoint Server、Microsoft Windows DNS和适用于Linux的Windows子系统中。

这次修补的66个新CVE中，三个被评为重大(Critical)，62个被评为重要(Important)，一个被评为中等(Moderate)。

在2021年的过去9个月中，这是微软第7个次修补不到100个CVE补丁，这与2020年形成鲜明对比，当时雷德蒙德花费了8个月的时间每月发布超过100个CVE补丁。但是，正如零日计划所指出的那样，虽然漏洞的总数较少，但严重性评级却有所上升。

一些观察家认为，本月的补丁优先级最高的是修复cve-2020-40444：微软MSHTML(Trident)引擎上的一个重要漏洞，在CVSS等级上的评分为8.8(满分10分)。

在9月7日披露的消息中，研究人员开发了许多概念验证(PoC)漏洞，表明利用它是多么简单，而且攻击者一直在分享有关利用的指南。

受到积极攻击：CVE-2021-40444

自从这个严重的、易于利用的漏洞受到主动攻击以来，已经将近两周了，距攻击者分享执行漏洞利用的蓝图也已经将近一周了。

微软上周表示，该漏洞可能让攻击者“制作一个恶意ActiveX控件，供托管浏览器渲染引擎的Microsoft Office文档使用”，然后“攻击者必须说服用户打开恶意文档。”不幸的是，恶意宏攻击继续盛行：例如，在7月，Microsoft Excel的老用户成为恶意软件活动的目标，该活动使用新型恶意软件混淆技术禁用恶意宏警告并传播ZLoader木马。

攻击者需要说服用户打开包含漏洞利用代码的特制Microsoft Office文档。

Tenable的研究工程师Satnam Narang通过电子邮件指出，有警告称此漏洞将被纳入恶意软件有效payload并用于传播勒索软件：有充分的理由将该补丁放在优先列表顶部。

Narang告诉Threatpost：“目前还没有迹象表明这种情况已经发生，但随着补丁的发布，组织应该优先考虑尽快更新他们的系统。”

上周三，也就是9月8日，英国时尚零售商Arcadia Group安全运营中心负责人、微软前任高级威胁情报分析师Kevin Beaumont指出，该漏洞已经存在了大约一周或更长时间。

更糟的是，上周四，也就是9月9日，威胁行为者开始分享Windows MSHTML 0day漏洞利用方法和PoCs。BleepingComputer尝试了一下，发现这些指南“简单易懂并允许任何人创建他们自己的漏洞利用版本”，“包括用于分发恶意文档和CAB文件的Python服务器。”

该出版物花了15分钟的时间来重新创建漏洞利用。

一周前，也就是9月7日，星期二，微软和网络安全和基础设施安全局(CISA)敦促缓解远程代码执行(RCE)漏洞，该漏洞存在于所有现代Windows操作系统中。

上周，该公司没有过多提及MSHTML(又名Trident)中的漏洞，它是自20多年前Internet Explorer首次亮相以来内置于Windows中的HTML引擎，它允许Windows读取和显示HTML文件。

然而，微软确实表示，它知道有针对性的攻击试图通过特制的Microsoft Office文档来利用它。

尽管当时还没有针对该漏洞的安全更新可用，但MIcrosoft还是继续披露了它，并发布了旨在帮助防止漏洞利用的缓解措施。

不能缓解的缓解措施

该漏洞被跟踪为CVE-2021-40444，其严重程度足以使CISA发送建议提醒用户和管理员，并建议他们使用微软推荐的缓解措施和解决方法——缓解措施试图通过在Windows资源管理器中。

不幸的是，这些缓解措施被证明并非万无一失，因为包括Beaumont在内的研究人员设法修改了漏洞利用，使其不使用ActiveX，从而有效地绕过了Microsoft的缓解措施。

The Zero Day Initiative表示，目前最有效的防御是“应用补丁并避免您不希望收到的Office文档。”

请务必仔细检查并安装您的设置所需的所有补丁：针对特定平台有很长的更新列表，别让你的保护层过于单薄。

此bug的发现归功于MSTIC的Rick Cole;Mandiant的Bryce Abdo、Dhanesh Kizhakkinan和Genwei Jiang和来自EXPMON的Haifei Li。

最严重Bug

CVE-2021-38647：开放管理基础设施中的一个高危的远程代码执行(RCE)漏洞，最严重的bug——或者至少是严重性评级最高的bug，CVSS得分为9.8。

OMI：一个开源项目，旨在进一步开发DMTF CIM/WBEM标准的生产质量实现。

Zero Day Initiave解释说：“此漏洞不需要用户交互或权限，因此攻击者只需向受攻击的系统发送特制的消息即可在受攻击的系统上运行他们的代码。”这使其具有高优先级：ZDI建议OMI用户快速测试和部署它。

还有更多PrintNightmare补丁

微软还修补了Windows Print Spooler中的三个提权漏洞(CVE-2021-38667、CVE-2021-38671和CVE-2021-40447)，都被评为重要(important)。

这是继6月份PrintMonthmary被披露后，针对Windows打印后台处理程序缺陷的一系列补丁中的三个最新补丁。这可能不会是游行中的最后一个补丁：Tenable的Narang告诉Threatpost，“研究人员继续寻找利用Print Spooler的方法”，并且该公司希望“继续在该领域进行研究”。

在今天的三个修补程序中，只有一个CVE-2021-38671被评为“更有可能被利用”。无论如何，组织应该优先修补这些缺陷，因为“它们对于后漏洞利用阶段的攻击者来说非常有价值。”

RCE也很重要

Danny Kim是Virsec的首席架构师，他在毕业于微软的操作系统安全开发团队期间曾在微软工作过，他希望安全团队关注CVE-2021-36965——一个重要的Windows WLAN自动配置服务RCE漏洞——鉴于其严重程度的组合(CVSS：3.0基础评分为8.8)、无需权限提升/用户交互即可利用以及受影响的Windows版本范围。

WLAN 自动配置服务是 Windows 10 用来分别选择计算机将连接到的无线网络和 Windows 脚本引擎的机制的一部分。

该补丁修复了一个缺陷，该缺陷可能允许邻近网络的攻击者在系统级别在受影响的系统上运行他们的代码。

正如Zero Day Initiative所解释的那样，这意味着攻击者可以“完全接管目标——只要他们在相邻的网络上。”这在coffee-shop攻击中会派上用场，因为在那里多人使用不安全的Wi-Fi网络。

这“特别令人震惊”，Kim说：“想想SolarWinds和PrintNightmare。”

他在一封电子邮件中说：“最近的趋势表明，基于远程代码执行的攻击是对企业造成最大负面影响的最关键的漏洞，正如我们在Solarwinds和PrintNightmare攻击中看到的那样。”

Kim表示，尽管漏洞利用代码的成熟度目前尚未得到证实，但该漏洞已被确认存在，为攻击者留下了漏洞。

“这取决于位于同一网络中的攻击者，因此看到此漏洞与另一个CVE/攻击结合使用以实现攻击者的最终目标也就不足为奇了。”“远程代码执行攻击可能导致未经验证的进程在服务器工作payload上运行，这只会凸显对持续、确定性运行时监控的需求。如果没有这种保护，RCE攻击可能会导致企业数据的机密性和完整性完全丧失。”

The Zero Day Initiative也发现了这个令人担忧的问题。即使它需要接近目标，它也不需要特权或用户交互，所以“不要让这个bug的相邻方面降低严重性。”“一定要快速测试和部署这个补丁。”

不要忘记修补Chrome

Breen通过电子邮件告诉Threatpost，安全团队还应注意Chrome中修补并移植到微软基于Chrome的Edge的25个漏洞。

他说，毕竟浏览器是了解隐私、敏感信息和任何对犯罪分子有价值事物的窗口。

他强调说：“我不能低估给浏览器打补丁并使其保持最新状态的重要性。”“毕竟，浏览器是我们与包含各种高度敏感、有价值和私人信息的互联网和基于web服务进行交互的方式。无论您是在考虑您的网上银行业务还是您组织的网络应用程序收集和存储的数据，它们都可能被利用浏览器的攻击所暴露。”

本文翻译自：https://threatpost.com/microsoft-patch-tuesday-exploited-windows-zero-day/169459/

微软修补被频繁利用的Windows 0 day漏洞