微软2021年11月份于周二补丁日针对55个漏洞发布安全补丁
2021-11-12
来源:祺印说信安
又到每月的漏洞补丁日了,很多国际厂商和微软一样,喜欢在周二发布其产品安全补丁,如Adobe、Android、Cisco、Citrix、Intel、Linux distributions Oracle Linux, Red Hat, SUSE、Samba、SAP、Schneider Electric、Siemens等。而这次微软为其产品的55个漏洞发布了补丁,产品涉及 Microsoft Windows 和 Windows 组件、Azure、Azure RTOS、Azure Sphere、Microsoft Dynamics、Microsoft Edge(基于 Chromium)、Exchange Server、Microsoft Office 和 Office 组件、Windows Hyper-V等,其中包括对 Excel 和 Exchange Server 中两个被积极利用的零日漏洞的修复。可能会被滥用以控制受影响的系统。
从历史上看,今年的11 月份的 55 个补丁是一个相对较低的数字。去年,涉及的CVE漏洞数量则多的多,回到 2018 年全年仅修复 691 个 CVE 的情况,但当年11 月修复的 CVE 也比本月更多。鉴于 12 月通常是补丁方面较慢的月份,因此人们怀疑是否由于各种因素导致等待部署的补丁积压。多年来,微软在整个行业中只看到增加的补丁后,发布更少的补丁似乎很奇怪。
国外安全媒体在介绍Exchange Server 漏洞时,提到也是上个月在我国天府杯上展示的漏洞之一,最关键的漏洞是CVE-2021-42321(CVSS 评分:8.8)和CVE-2021-42292(CVSS 评分:7.8),每个都涉及Microsoft Exchange Server 中的认证后远程代码执行漏洞和安全绕过漏洞分别影响 Microsoft Excel 版本 2013-2021。在 55 个漏洞中有6 个被评为严重,49 个为重要,另外 4 个在发布时被列为公开已知。
微软今年早些时候曾经警告说 APT Group HAFNIUM 正在利用Microsoft Exchange 服务器中的四个零日漏洞,这演变成 DearCry Ransomware 对 Exchange 服务器漏洞的利用——包括对传染病研究人员、律师事务所、大学、国防承包商、政策智囊团和非政府组织的攻击。诸如此类的实例进一步强调了 Microsoft Exchange 服务器是高价值目标希望渗透关键网络的黑客。
四个公开披露但未被利用的漏洞——
CVE-2021-43208(CVSS 评分:7.8)——3D 查看器远程代码执行漏洞
CVE-2021-43209(CVSS 评分:7.8)——3D 查看器远程代码执行漏洞
CVE-2021-38631(CVSS 评分:4.4)——Windows 远程桌面协议 (RDP) 信息泄露漏洞
CVE-2021-41371(CVSS 评分:4.4)——Windows 远程桌面协议 (RDP) 信息泄露漏洞
首先是三个可能导致信息泄露的 Azure RTOS 补丁,尽管微软没有说明可以泄露什么类型的信息。同样,需要重新编译和重新部署才能阻止恶意 USB 攻击。更令人不安的是,RDP 中有两个公开的信息披露错误,可能允许 RDP 管理员读取访问 Windows RDP 客户端密码。
FSLogix 中修复了一个信息披露错误,可能允许攻击者泄露通过 FSLogix 云缓存重定向到配置文件或 Office 容器的用户数据,其中包括用户配置文件设置和文件。令人惊讶的是,10 个信息披露错误中只有一个会导致由未指定内存内容组成的泄漏。
三个信息披露会影响 Azure Sphere 设备,但如果这些设备连接到 Internet,它们应该会自动接收更新。Azure Sphere 中还修复了一个篡改错误,但同样,如果已连接到 Internet,则无需采取任何措施。
没有权限的远程攻击者可以在所有受支持的 Windows 版本(包括 Windows 11)上创建 DoS。目前尚不清楚这是否会导致系统挂起或重启,但无论哪种方式,都不要绕过这种有影响力的 DoS。另外两个 DoS 错误会影响 Hyper-V,其中之一需要启用 GRE。
除了已经提到的 Excel 错误之外,11 月仅修复了一个其他安全功能绕过 (SFB),会影响 Windows 10 和 Server 2019 系统上的 Windows Hello。没有提供详细信息,但仅从组件和影响来看,似乎有一种方法可以在不使用 PIN、面部识别或指纹的情况下访问受影响的系统。如果您使用此功能进行身份验证,您可能需要禁用它,直到您确定所有受影响的系统都已修补。
最后,11 月发布的版本包含对四个欺骗错误的修复,其中一个针对 Exchange,当您寻找它时必须很明显,因为微软承认八位不同的研究人员都报告了它。当然,他们没有提供有关此补丁、其他 Exchange 欺骗错误或在 IE 模式下通过 Edge(基于 Chrome 的)欺骗错误修复的欺骗类型的信息。Microsoft 确实声明 Power BI 报表服务器的修复程序解决了模板文件中的跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF) 漏洞。