微软修补被频繁利用的Windows 0 day漏洞-黑客24小时在线接单的网站

在9月的Patch Tuesday微软发布了66个安全补丁CVE其中三个被列为微软四级划分系统的主要补丁(critical)等级，这三个之中一个名为Windows MSHTML的0day近两周来，漏洞一直受到积极攻击。

另一个bug被列为公开已知但尚未使用。Immersive Labs网络威胁研究主管Kevin Breen只观察到一个CVE在野外受到积极攻击。

这些漏洞存在于Microsoft Windows和Windows组件、Microsoft Edge(Chromium、iOS和Android)、Azure、Office和Office组件、SharePoint Server、Microsoft Windows DNS和适用于Linux的Windows子系统中。

66个新的66个新的CVE三人被评为重大(Critical)，62被评为重要(Important)，被评为中等(Moderate)。

在2021年的过去9个月里，这是微软第七次修复不到100次CVE与2020年形成鲜明对比的是，雷德蒙德花了8个月的时间每月发布100多个补丁CVE补丁。但正如零日计划所指出的，虽然漏洞总数较少，但严重性评级却有所上升。

一些观察家认为，本月最高的补丁优先级是修复cve-2020-40444：微软MSHTML(Trident)发动机上的一个重要漏洞CVSS等级评分为8.8(满分10分)。

在9月7日披露的消息中，研究人员开发了许多概念验证(PoC)漏洞表明使用它有多简单，攻击者一直在分享使用指南。

积极攻击：CVE-2021-40444

自从这个严重易用的漏洞被积极攻击以来，已经近两周了，距离攻击者分享执行漏洞的蓝图近一周了。

微软上周表示，这个漏洞可能会让攻击者“恶意ActiveX托管浏览器渲染引擎的控制器Microsoft Office文档使用”，然后“攻击者必须说服用户打开恶意文件。”不幸的是，恶意宏攻击继续盛行例如，在7月，Microsoft Excel老用户成为恶意软件活动的目标。该活动使用新的恶意软件混淆技术，禁止恶意宏警告和传播ZLoader木马。

攻击者需要说服用户打开包含漏洞的特殊代码Microsoft Office文档。

Tenable研究工程师Satnam Narang电子邮件指出，一些警告称，这个漏洞将被纳入恶意软件payload并用于传播勒索软件：有充分的理由将补丁放在优先列表的顶部。

Narang告诉Threatpost：“没有迹象表明这种情况已经发生，但随着补丁的发布，组织应该优先考虑尽快更新他们的系统。”

上周三，也就是9月8日，英国时尚零售商Arcadia Group安全运营中心负责人，微软前高级威胁情报分析师Kevin Beaumont指出漏洞已存在约一周或更长时间。

更糟糕的是，威胁行为者在上周四开始分享，也就是9月9日Windows MSHTML 0day漏洞利用方法及PoCs。BleepingComputer试了试，发现了这些指南“简单易懂，允许任何人利用版本创建自己的漏洞”，“包括分发恶意文档和CAB文件的Python服务器。”

出版物花了15分钟重建漏洞。

一周前，9月7日，周二，微软和基础设施安全局(CISA)敦促缓解远程代码执行(RCE)漏洞存在于所有现代Windows在操作系统中。

公司上周没有提到太多MSHTML(又名Trident)20多年前的漏洞Internet Explorer自首次亮相以来内置Windows中的HTML它允许引擎Windows读取和显示HTML文件。

然而，微软确实表示，它知道有针对性的攻击试图通过特殊攻击进行Microsoft Office使用文档。

虽然当时漏洞没有安全更新，但是MIcrosoft继续披露，发布缓解措施，帮助防止漏洞利用。

不能缓解的缓解措施

跟踪漏洞CVE-2021-40444，足够严重CISA提醒用户和管理员发送建议，并建议他们使用微软推荐的缓解措施和解决方案——试图通过缓解措施Windows在资源管理器中。

不幸的是，这些缓解措施并非万无一失，因为包括Beaumont研究人员试图修改漏洞的使用，使其不使用ActiveX，有效绕过Microsoft缓解措施。

The Zero Day Initiative目前最有效的防御是“应用补丁，避免你不想收到的补丁Office文档。”

请仔细检查并安装您设置所需的所有补丁：对于特定的平台，有一个很长的更新列表，不要让您的保护层太薄。

此bug由于发现MSTIC的Rick Cole;Mandiant的Bryce Abdo、Dhanesh Kizhakkinan和Genwei Jiang和来自EXPMON的Haifei Li。

最严重Bug

CVE-2021-38647：在开放管理基础设施中执行高风险远程代码(RCE)漏洞，最严重的bug——或者至少是最严重的评级bug，CVSS得分为9.8。

OMI：开源项目旨在进一步发展DMTF CIM/WBEM实现标准生产质量。

Zero Day Initiave解释说：“这个漏洞不需要用户交互或权限，所以攻击者只需要向攻击系统发送特殊信息，就可以在攻击系统上运行代码。”这使其具有高优先级：ZDI建议OMI用户快速测试和部署它。

还有更多PrintNightmare补丁

微软也修好了Windows Print Spooler三个提权漏洞(CVE-2021-38667、CVE-2021-38671和CVE-2021-40447)，被评为重要(important)。

这是继6月份PrintMonthmary被披露后，针对Windows打印后台处理程序缺陷的三个最新补丁。这可能不是游行中的最后一个补丁：Tenable的Narang告诉Threatpost，“研究人员继续寻求利用Print Spooler的方法”，公司希望“继续在这一领域进行研究”。

在今天的三个修复程序中，只有一个CVE-2021-38671被评为“更有可能被利用”。无论如何，组织应该优先修复这些缺陷，因为“它们对后漏洞利用阶段的攻击者非常有价值。”

RCE也很重要

Danny Kim是Virsec他毕业于微软操作系统安全开发团队期间在微软工作的首席架构师，希望安全团队关注CVE-2021-36965——一个重要的Windows WLAN服务的自动配置RCE漏洞——鉴于其严重程度的组合(CVSS：3.0基础评分为8.8)、无需权限提升/用户交互即可使用和影响Windows版本范围。

WLAN 自动配置服务是 Windows 10 用于选择计算机将连接到的无线网络和 Windows 脚本引擎的机制的一部分。

该补丁修复了一个缺陷，允许相邻网络的攻击者在受影响的系统级别上运行其代码。

正如Zero Day Initiative这意味着攻击者可以“完全接管目标——只要他们在相邻的网络上。”这在coffee-shop因为很多人在那里使用不安全的攻击会派上用场Wi-Fi网络。

这“特别令人震惊”，Kim说：“想想SolarWinds和PrintNightmare。”

他在电子邮件中说：“最近的趋势表明，基于远程代码的攻击是对企业产生最大负面影响的最关键的漏洞，就像我们在一样Solarwinds和PrintNightmare攻击中看到的。”

Kim据说，虽然代码使用漏洞的成熟度尚未得到证实，但漏洞已被确认存在，给攻击者留下了漏洞。

“这取决于同一网络中的攻击者，所以看到这个漏洞和另一个漏洞CVE实现攻击者的最终目标并不奇怪。”“远程代码执行攻击可能导致未经验证的过程在服务器中工作payload上操作只会突出对持续和确定性操作的监控需求。如果没有这种保护，RCE攻击可能会导致企业数据的机密性和完整性完全丧失。”

The Zero Day Initiative我也发现了这个令人担忧的问题。即使它需要接近目标，它也不需要特权或用户，所以“不要让这个bug降低相邻方面的严重性。”“这个补丁必须快速测试和部署。”

别忘了修理Chrome

Breen通过电子邮件告知Threatpost，还应注意安全团队Chrome基于微软的修复和移植Chrome的Edge的25个漏洞。

他说，浏览器毕竟是了解隐私、敏感信息和对罪犯有价值的窗口。

他强调说：“我不能低估给浏览器补丁并保持最新状态的重要性。”“毕竟，浏览器是基于互联网和基于各种高度敏感、有价值和私人信息的互联网web互动服务的方式。无论您是在考虑您的在线银行业务，还是您组织的在线应用程序收集和存储的数据，它们都可能被浏览器的攻击所暴露。”

本文翻译自：https://threatpost.com/microsoft-patch-tuesday-exploited-windows-zero-day/169459/

一	二	三	四	五	六	日
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

黑客24小时在线接单的网站

黑客24小时在线接单的网站