本月微软发布安全更新,以解决 Windows、Azure、Visual Studio、Windows Hyper-V 和 Office 中的 55 个漏洞,包括对 Excel 和 Exchange Server 中两个被积极利用的零日漏洞的修复,可能会被滥用以控制受影响的系统。
根据网络安全行业门户极牛网JIKENB.COM的梳理,最关键的漏洞是CVE-2021-42321(CVSS 评分:8.8)和CVE-2021-42292(CVSS 评分:7.8),每个都涉及Microsoft Exchange Server 中的认证后远程代码执行漏洞和安全绕过漏洞分别影响 Microsoft Excel 版本 2013-2021。
Exchange Server 漏洞也是上个月在中国举办的天府杯上展示的漏洞之一。然而,微软没有提供任何关于上述两个漏洞如何用于现实世界攻击的细节。
今年早些时候,微软警告说 APT Group HAFNIUM 正在利用Microsoft Exchange 服务器中的四个零日漏洞。
还解决了四个公开披露但未被利用的漏洞:
CVE-2021-43208(CVSS 评分:7.8)——3D 查看器远程代码执行漏洞;
CVE-2021-43209(CVSS 评分:7.8)——3D 查看器远程代码执行漏洞;
CVE-2021-38631(CVSS 评分:4.4)——Windows 远程桌面协议 (RDP) 信息泄露漏洞;
CVE-2021-41371(CVSS 评分:4.4)——Windows 远程桌面协议 (RDP) 信息泄露漏洞;
微软 11 月的安全更新还附带了针对CVE-2021-3711的解决方案,这是OpenSSL 的 SM2 解密功能中的一个关键缓冲区溢出漏洞,该漏洞于2021 年 8 月下旬曝光,可能被攻击者滥用以运行任意代码并导致DoS攻击的条件。
其他重要补救措施包括修复 Chakra 脚本引擎 ( CVE-2021-42279 )、Microsoft Defender ( CVE-2021-42298 )、Microsoft 虚拟机总线 ( CVE-2021-26443 )、远程桌面客户端 ( CVE ) 中的多个远程代码执行缺陷-2021-38666 ) 和 Microsoft Dynamics 365 的本地版本 ( CVE-2021-42316 )。
最后,此更新包含针对影响 NTFS(CVE-2021-41367、CVE-2021-41370、CVE-2021-42283)、Windows 内核(CVE-2021-42285)、Visual Studio Code 的多个提权漏洞的补丁( CVE-2021-42322 )、Windows 桌面桥 ( CVE-2021-36957 ) 和 Windows 快速 FAT 文件系统驱动程序 ( CVE-2021-41377 )。