微軟修補被頻繁利用的Windows 0 day漏洞

　　在 9 月的 Patch Tuesday 發(fā)布的一系列安全補丁中，微軟發(fā)布了 66 個 CVE 的補丁，其中三個被列為微軟四級劃分系統(tǒng)中的重大 ( critical ) 等級，這三個之中一個名為 Windows MSHTML 的 0day 漏洞已經(jīng)受到了近兩周的積極攻擊。

　　另一個 bug 被列為公開已知但尚未被利用。Immersive Labs 的網(wǎng)絡(luò)威脅研究主管 Kevin Breen 觀察到，只有一個 CVE 在野外受到積極攻擊。

　　這些漏洞存在于 Microsoft Windows 和 Windows 組件、Microsoft Edge(Chromium、iOS 和 Android)、Azure、Office 和 Office 組件、SharePoint Server、Microsoft Windows DNS 和適用于 Linux 的 Windows 子系統(tǒng)中。

　　這次修補的 66 個新 CVE 中，三個被評為重大(Critical)，62 個被評為重要(Important)，一個被評為中等(Moderate)。

　　在 2021 年的過去 9 個月中，這是微軟第 7 個次修補不到 100 個 CVE 補丁，這與 2020 年形成鮮明對比，當(dāng)時雷德蒙德花費了 8 個月的時間每月發(fā)布超過 100 個 CVE 補丁。但是，正如零日計劃所指出的那樣，雖然漏洞的總數(shù)較少，但嚴重性評級卻有所上升。

　　一些觀察家認為，本月的補丁優(yōu)先級最高的是修復(fù) cve-2020-40444：微軟 MSHTML(Trident)引擎上的一個重要漏洞，在 CVSS 等級上的評分為 8.8(滿分 10 分)。

　　在 9 月 7 日披露的消息中，研究人員開發(fā)了許多概念驗證(PoC)漏洞，表明利用它是多么簡單，而且攻擊者一直在分享有關(guān)利用的指南。

　　受到積極攻擊：CVE-2021-40444

　　自從這個嚴重的、易于利用的漏洞受到主動攻擊以來，已經(jīng)將近兩周了，距攻擊者分享執(zhí)行漏洞利用的藍圖也已經(jīng)將近一周了。

　　微軟上周表示，該漏洞可能讓攻擊者 " 制作一個惡意 ActiveX 控件，供托管瀏覽器渲染引擎的 Microsoft Office 文檔使用 "，然后 " 攻擊者必須說服用戶打開惡意文檔。" 不幸的是，惡意宏攻擊繼續(xù)盛行：例如，在 7 月，Microsoft Excel 的老用戶成為惡意軟件活動的目標(biāo)，該活動使用新型惡意軟件混淆技術(shù)禁用惡意宏警告并傳播 ZLoader 木馬。

　　攻擊者需要說服用戶打開包含漏洞利用代碼的特制 Microsoft Office 文檔。

　　Tenable 的研究工程師 Satnam Narang 通過電子郵件指出，有警告稱此漏洞將被納入惡意軟件有效 payload 并用于傳播勒索軟件：有充分的理由將該補丁放在優(yōu)先列表頂部。

　　Narang 告訴 Threatpost：" 目前還沒有跡象表明這種情況已經(jīng)發(fā)生，但隨著補丁的發(fā)布，組織應(yīng)該優(yōu)先考慮盡快更新他們的系統(tǒng)。"

　　上周三，也就是 9 月 8 日，英國時尚零售商 Arcadia Group 安全運營中心負責(zé)人、微軟前任高級威脅情報分析師 Kevin Beaumont 指出，該漏洞已經(jīng)存在了大約一周或更長時間。

　　更糟的是，上周四，也就是 9 月 9 日，威脅行為者開始分享 Windows MSHTML 0day 漏洞利用方法和 PoCs。BleepingComputer 嘗試了一下，發(fā)現(xiàn)這些指南 " 簡單易懂并允許任何人創(chuàng)建他們自己的漏洞利用版本 "，" 包括用于分發(fā)惡意文檔和 CAB 文件的 Python 服務(wù)器。"

　　該出版物花了 15 分鐘的時間來重新創(chuàng)建漏洞利用。

　　一周前，也就是 9 月 7 日，星期二，微軟和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)敦促緩解遠程代碼執(zhí)行(RCE)漏洞，該漏洞存在于所有現(xiàn)代 Windows 操作系統(tǒng)中。

　　上周，該公司沒有過多提及 MSHTML(又名 Trident)中的漏洞，它是自 20 多年前 Internet Explorer 首次亮相以來內(nèi)置于 Windows 中的 HTML 引擎，它允許 Windows 讀取和顯示 HTML 文件。

　　然而，微軟確實表示，它知道有針對性的攻擊試圖通過特制的 Microsoft Office 文檔來利用它。

　　盡管當(dāng)時還沒有針對該漏洞的安全更新可用，但 MIcrosoft 還是繼續(xù)披露了它，并發(fā)布了旨在幫助防止漏洞利用的緩解措施。

　　不能緩解的緩解措施

　　該漏洞被跟蹤為 CVE-2021-40444，其嚴重程度足以使 CISA 發(fā)送建議提醒用戶和管理員，并建議他們使用微軟推薦的緩解措施和解決方法——緩解措施試圖通過在 Windows 資源管理器中。

　　不幸的是，這些緩解措施被證明并非萬無一失，因為包括 Beaumont 在內(nèi)的研究人員設(shè)法修改了漏洞利用，使其不使用 ActiveX，從而有效地繞過了 Microsoft 的緩解措施。

　　The Zero Day Initiative 表示，目前最有效的防御是 " 應(yīng)用補丁并避免您不希望收到的 Office 文檔。"

　　請務(wù)必仔細檢查并安裝您的設(shè)置所需的所有補丁：針對特定平臺有很長的更新列表，別讓你的保護層過于單薄。

　　此 bug 的發(fā)現(xiàn)歸功于 MSTIC 的 Rick Cole;Mandiant 的 Bryce Abdo、Dhanesh Kizhakkinan 和 Genwei Jiang 和來自 EXPMON 的 Haifei Li。

　　最嚴重 Bug

　　CVE-2021-38647：開放管理基礎(chǔ)設(shè)施中的一個高危的遠程代碼執(zhí)行(RCE)漏洞，最嚴重的 bug ——或者至少是嚴重性評級最高的 bug，CVSS 得分為 9.8。

　　OMI：一個開源項目，旨在進一步開發(fā) DMTF CIM/WBEM 標(biāo)準的生產(chǎn)質(zhì)量實現(xiàn)。

　　Zero Day Initiave 解釋說：" 此漏洞不需要用戶交互或權(quán)限，因此攻擊者只需向受攻擊的系統(tǒng)發(fā)送特制的消息即可在受攻擊的系統(tǒng)上運行他們的代碼。" 這使其具有高優(yōu)先級：ZDI 建議 OMI 用戶快速測試和部署它。

　　還有更多 PrintNightmare 補丁

　　微軟還修補了 Windows Print Spooler 中的三個提權(quán)漏洞(CVE-2021-38667、CVE-2021-38671 和 CVE-2021-40447)，都被評為重要(important)。

　　這是繼 6 月份 PrintMonthmary 被披露后，針對 Windows 打印后臺處理程序缺陷的一系列補丁中的三個最新補丁。這可能不會是游行中的最后一個補�。篢enable 的 Narang 告訴 Threatpost，" 研究人員繼續(xù)尋找利用 Print Spooler 的方法 "，并且該公司希望 " 繼續(xù)在該領(lǐng)域進行研究 "。

　　在今天的三個修補程序中，只有一個 CVE-2021-38671 被評為 " 更有可能被利用 "。無論如何，組織應(yīng)該優(yōu)先修補這些缺陷，因為 " 它們對于后漏洞利用階段的攻擊者來說非常有價值。"

　　更多 " 更有可能被利用 "

　　Immersive 的 Breen 告訴 Threatpost，Windows 通用日志文件系統(tǒng)驅(qū)動程序中的三個本地提權(quán)漏洞(CVE-2021-36955、CVE-2021-36963、CVE-2021-38633)也值得注意，它們都被列為 " 更有可能被利用。"

　　布林通過電子郵件說：" 本地 priv-esc 漏洞是幾乎所有成功網(wǎng)絡(luò)攻擊的關(guān)鍵組成部分，特別是對于勒索軟件運營商等濫用此類漏洞以獲得最高訪問級別的人來說。"" 這使他們能夠禁用防病毒軟件、刪除備份，并確保他們的加密程序可以訪問最敏感的文件。"

　　一個明顯的例子出現(xiàn)在 5 月份，當(dāng)時發(fā)現(xiàn)數(shù)億戴爾用戶面臨內(nèi)核權(quán)限漏洞的風(fēng)險。這些漏洞潛伏了 12 年未公開，可能允許攻擊者繞過安全產(chǎn)品、執(zhí)行代碼并轉(zhuǎn)移到網(wǎng)絡(luò)的其他部分進行橫向移動。

　　微軟周二修補的三個漏洞并非遙不可及，這意味著攻擊者需要通過其他方式實現(xiàn)代碼執(zhí)行。其中一種方式是通過 CVE-2021-40444。

　　另外兩個漏洞—— CVE-2021-38639 和 CVE-2021-36975，都是 Win32k 權(quán)限提升漏洞——也被列為 " 更有可能被利用 " 漏洞，并且涵蓋了所有受支持的 Windows 版本。

　　Breen 說，特權(quán)升級漏洞的嚴重性風(fēng)險沒有 RCE 漏洞那么高，但 " 這些本地漏洞可能是有經(jīng)驗的攻擊者在后漏洞利用階段的關(guān)鍵。"" 如果你能在這里阻止他們，你就有可能大大限制他們的損害。"

　　他補充說，" 如果我們假設(shè)一個確定的攻擊者能夠通過社會工程或其他技術(shù)感染受害者的設(shè)備，我認為修補 priv-esc 漏洞甚至比修補其他一些遠程代碼執(zhí)行漏洞更重要。"

　　RCE 也很重要

　　Danny Kim 是 Virsec 的首席架構(gòu)師，他在畢業(yè)于微軟的操作系統(tǒng)安全開發(fā)團隊期間曾在微軟工作過，他希望安全團隊關(guān)注 CVE-2021-36965 ——一個重要的 Windows WLAN 自動配置服務(wù) RCE 漏洞——鑒于其嚴重程度的組合(CVSS：3.0 基礎(chǔ)評分為 8.8)、無需權(quán)限提升 / 用戶交互即可利用以及受影響的 Windows 版本范圍。

　　WLAN 自動配置服務(wù)是 Windows 10 用來分別選擇計算機將連接到的無線網(wǎng)絡(luò)和 Windows 腳本引擎的機制的一部分。

　　該補丁修復(fù)了一個缺陷，該缺陷可能允許鄰近網(wǎng)絡(luò)的攻擊者在系統(tǒng)級別在受影響的系統(tǒng)上運行他們的代碼。

　　正如 Zero Day Initiative 所解釋的那樣，這意味著攻擊者可以 " 完全接管目標(biāo)——只要他們在相鄰的網(wǎng)絡(luò)上。" 這在 coffee-shop 攻擊中會派上用場，因為在那里多人使用不安全的 Wi-Fi 網(wǎng)絡(luò)。

　　這 " 特別令人震驚 "，Kim 說：" 想想 SolarWinds 和 PrintNightmare。"

　　他在一封電子郵件中說：" 最近的趨勢表明，基于遠程代碼執(zhí)行的攻擊是對企業(yè)造成最大負面影響的最關(guān)鍵的漏洞，正如我們在 Solarwinds 和 PrintNightmare 攻擊中看到的那樣。"

　　Kim 表示，盡管漏洞利用代碼的成熟度目前尚未得到證實，但該漏洞已被確認存在，為攻擊者留下了漏洞。

　　" 這取決于位于同一網(wǎng)絡(luò)中的攻擊者，因此看到此漏洞與另一個 CVE/ 攻擊結(jié)合使用以實現(xiàn)攻擊者的最終目標(biāo)也就不足為奇了。"" 遠程代碼執(zhí)行攻擊可能導(dǎo)致未經(jīng)驗證的進程在服務(wù)器工作 payload 上運行，這只會凸顯對持續(xù)、確定性運行時監(jiān)控的需求。如果沒有這種保護，RCE 攻擊可能會導(dǎo)致企業(yè)數(shù)據(jù)的機密性和完整性完全喪失。"

　　The Zero Day Initiative 也發(fā)現(xiàn)了這個令人擔(dān)憂的問題。即使它需要接近目標(biāo)，它也不需要特權(quán)或用戶交互，所以 " 不要讓這個 bug 的相鄰方面降低嚴重性。"" 一定要快速測試和部署這個補丁。"

　　不要忘記修補 Chrome

　　Breen 通過電子郵件告訴 Threatpost，安全團隊還應(yīng)注意 Chrome 中修補并移植到微軟基于 Chrome 的 Edge 的 25 個漏洞。

　　他說，畢竟瀏覽器是了解隱私、敏感信息和任何對犯罪分子有價值事物的窗口。

　　他強調(diào)說：" 我不能低估給瀏覽器打補丁并使其保持最新狀態(tài)的重要性。"" 畢竟，瀏覽器是我們與包含各種高度敏感、有價值和私人信息的互聯(lián)網(wǎng)和基于 web 服務(wù)進行交互的方式。無論您是在考慮您的網(wǎng)上銀行業(yè)務(wù)還是您組織的網(wǎng)絡(luò)應(yīng)用程序收集和存儲的數(shù)據(jù)，它們都可能被利用瀏覽器的攻擊所暴露。"