微软本周星期二补丁修复 50 个漏洞

Andrew 2021-06-09
专栏 - 资讯 发布于 2021-06-09 10:12:55 阅读 62 评论 0

研究人员发现了 4 月份发起的一个针对性很强的恶意软件活动,其中一个新的、未知的黑客使用了微软所说的受到主动攻击的两个漏洞。

微软在本月的补丁星期二更新中发现了 50 个漏洞,发布了针对 Microsoft Windows、.NET Core 和 Visual Studio、Microsoft Office、Microsoft Edge(基于 Chromium 和 EdgeHTML)、SharePoint Server、Hyper-V、Visual Studio Code 中的 CVE 的修复程序– Kubernetes 工具、Windows HTML 平台和 Windows 远程桌面。

其中 5 个 CVE 被评为严重,45 个被评为重要。微软报告称,其中 6 个漏洞目前正受到主动攻击,而 3 个漏洞在发布时已为公众所知。

这个数字可能看起来很轻——它比微软 5 月份发布的补丁少了六个——但关键漏洞的数量环比上升到五个月。

这些积极利用的漏洞可以使攻击者劫持系统。它们没有解决方法,因此一些安全专家建议将它们修补为最高优先级。

被广泛攻击的 6 个 CVE 包括 4 个提权漏洞、1 个信息泄露漏洞和 1 个远程代码执行(RCE)漏洞。

值得注意的严重漏洞

CVE-2021-31985是微软 Defender 反恶意软件中的一个关键 RCE 漏洞,应该引起注意。Defender 中的一个类似的严重漏洞已于 1 月修补。今年第一个补丁星期二中最严重的是较早的 Defender 漏洞是一个 RCE 漏洞,该漏洞被主动利用。

另一个严重漏洞是CVE-2021-31963,这是一个 Microsoft SharePoint Server RCE 漏洞。Automox 产品营销总监 Jay Goodman 在一篇博客文章中表示,利用此漏洞的攻击者“可以控制系统,在那里他们可以自由安装程序、查看或更改数据,或在目标系统上创建新帐户拥有完整的用户权限。”

虽然微软报告说这个漏洞不太可能被利用,但 Jay Goodman 建议组织不要让它溜走:“在攻击者可以武器化之前的 72 小时窗口内修补关键漏洞是维护安全和可靠基础设施的重要第一步,”他观察到。

被利用的漏洞

微软共修复了七个零日漏洞。一个是CVE-2021-31968,Windows 远程桌面服务拒绝服务漏洞,该漏洞已公开披露但未在攻击中出现。它的 CVSS 分数为 7.5。

这就是微软所说的被主动攻击的六个漏洞,都是零日漏洞。

  • CVE-2021-31955 – Windows 内核信息泄露漏洞。评价:重要。CVSS 5.5
  • CVE-2021-31956 – Windows NTFS 特权提升漏洞。评价:重要。CVSS 7.8
  • CVE-2021-33739 – Microsoft DWM 核心库特权提升漏洞。评价:重要。CVSS 8.4
  • CVE-2021-33742 – Windows MSHTML 平台远程代码执行漏洞。评价:严重。CVSS 7.5
  • CVE-2021-31199 – Microsoft 增强的加密提供程序特权提升漏洞。评价:重要。CVSS 5.2
  • CVE-2021-31201 – Microsoft 增强的加密提供程序特权提升漏洞。评价:重要。CVSS 5.2

CVE-2021-33742

此 RCE 漏洞利用 MSHTML,这是 Internet Explorer 引擎用来读取和显示网站内容的组件。如果用户查看特制的 Web 内容,该漏洞可能允许攻击者在目标系统上执行代码。该零日倡议的(ZDI的)达斯汀蔡尔兹在他的补丁星期二分析指出,由于该漏洞存在于三叉戟(MSHTML)引擎本身,许多不同的应用受到影响,而不只是互联网浏览器。“目前尚不清楚主动攻击的广泛程度,但考虑到该漏洞会影响所有受支持的 Windows 版本,这应该是您的测试和部署列表的首位,”他建议道。

该漏洞不需要特殊权限即可利用,但攻击复杂度很高,如果这有什么安慰的话。Tenable 的研究工程师 Satnam Narang 在周二发给 Threatpost 的电子邮件中指出,攻击者需要做一些额外的工作才能成功。

Immersive Labs 的网络威胁研究主管 Kevin Breen 指出,在易受攻击的浏览器中访问网站是“攻击者提供此漏洞的一种简单方法”。他周二通过电子邮件告诉 Threatpost,由于该库被其他服务和应用程序使用,“将 HTML 文件作为网络钓鱼活动的一部分通过电子邮件发送也是一种可行的交付方式。”

Sophos将其定为本月作物的首要关注点,因为它已经被恶意行为者积极利用。

CVE-2021-31955、CVE-2021-31956:用于针对 PuzzleMaker 的恶意软件

CVE-2021-31955是Windows内核中的信息泄露漏洞,而CVE-2021-31956是Windows NTFS中的提权漏洞。ZDI 的 Childs 指出,CVE-2021-31956 是由发现 CVE-2021-31955 的同一位研究人员报告的,该信息披露错误也被列为受到主动攻击。他们可以相互关联,他建议道:“这些漏洞可能被结合使用,因为这是一种常见的技术——使用内存泄漏来获取提升权限所需的地址。这些错误本身很重要,如果结合起来可能会更糟。绝对优先考虑这些补丁的测试和部署。”

他很准时。周二,卡巴斯基宣布其研究人员发现了 4 月份针对多家公司发起的具有高度针对性的恶意软件活动,其中一个以前未知的威胁行为者使用了一系列 Chrome 和 Windows 零日漏洞:即这两个漏洞。

卡巴斯基在一份新闻稿中表示,其中一个漏洞被用于谷歌 Chrome 网络浏览器中的 RCE,而另一个漏洞是针对 Windows 10 的“最新和最突出的构建”进行了微调的特权提升漏洞。

“最近几个月出现了一波利用零日漏洞的高级威胁活动,”该新闻稿称。“在 4 月中旬,卡巴斯基专家发现了针对多家公司的一系列新的针对性很强的漏洞利用攻击,这些攻击使攻击者能够秘密破坏目标网络。”

卡巴斯基尚未发现这些攻击与任何已知的威胁行为者之间存在联系,因此它继续前进并将其称为 PuzzleMaker。它说所有攻击都是通过 Chrome 进行的,并使用了允许 RCE 的漏洞。卡巴斯基研究人员无法检索该漏洞的代码,但时间线和可用性表明攻击者正在Chrome 和 Chromium 浏览器中使用现已修补的CVE-2021-21224漏洞,该](https://www.cvedetails.com/cve/CVE-2021-21224)漏洞允许攻击者利用 Chrome 渲染器进程(负责用户选项卡内发生的事情的进程)。

然而,卡巴斯基专家确实发现并分析了第二个漏洞:特权提升漏洞利用 Microsoft Windows 操作系统内核中的两个不同漏洞:CVE-2021-31955 和 CVE-2021-31956。他们解释说,CVE-2021-31955 漏洞“与 SuperFetch 相关,这是 Windows Vista 中首次引入的一项功能,旨在通过将常用应用程序预加载到内存中来减少软件加载时间”。

第二个漏洞 CVE-2021-31956 是特权提升漏洞和基于堆的缓冲区溢出。卡巴斯基表示,攻击者将此漏洞与 Windows 通知工具 (WNF) 结合使用,“以创建任意内存读/写原语并以系统权限执行恶意软件模块。”

“一旦攻击者同时使用 Chrome 和 Windows 漏洞在目标系统中站稳脚跟,stager 模块就会从远程服务器下载并执行更复杂的恶意软件植入程序,”他们继续说道。“然后这个 dropper 会安装两个可执行文件,它们伪装成属于 Microsoft Windows 操作系统的合法文件。这两个可执行文件中的第二个是远程 shell 模块,它能够下载和上传文件、创建进程、休眠特定时间段以及从受感染的系统中删除自身。”

卡巴斯基全球研究与分析团队 (GReAT) 的高级安全研究员鲍里斯·拉林 (Boris Larin) 表示,该团队无法将这些高度针对性的攻击与任何已知的威胁行为者联系起来:因此,PuzzleMaker 的名称以及密切监视安全性的决心新闻稿中引用了他的话说,“为了未来的活动或对这个群体的新见解”。

拉林说,如果当前的趋势有任何迹象,预计会看到更多相同的情况。“总的来说,最近,我们看到了几波由零日漏洞利用驱动的备受瞩目的威胁活动,”他说。“这提醒我们,零日仍然是感染目标的最有效方法。既然这些漏洞已经公开,我们可能会看到它们在这个和其他威胁参与者的攻击中的使用增加。这意味着用户尽快从 Microsoft 下载最新补丁非常重要。”

CVE-2021-31199/CVE-2021-31201

ZDI 解释说,这两个增强型加密提供程序特权提升漏洞与上个月受到主动攻击的 Adobe Reader 漏洞(CVE-2021-28550) 相关。“经常看到权限提升与代码执行错误相结合,这两个漏洞似乎是这些漏洞利用的权限提升部分,”他解释道。“在主动攻击的不同部分之间看到补丁可用性之间的延迟有点不寻常,但很高兴看到这些漏洞现在正在关闭。”

CVE-2021-33739

Breen 指出,像 Microsoft DWM 核心库中的这个权限提升漏洞对攻击者来说与 RCE 一样有价值。“一旦他们获得了最初的立足点,他们就可以在整个网络中横向移动,并发现进一步升级到系统或域级访问的方法,”他说。“在勒索软件攻击的情况下,这可能会造成巨大的破坏,在这种情况下,高权限可以使攻击者停止或破坏备份和其他安全工具。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!