微軟Patch Tuesday修補包含MSHTML引擎等66項漏洞

周二微軟釋出9月份Patch Tuesday安全更新，修補66項漏洞，包含已經出現開採程式的Windows MSHTML瀏覽器引擎漏洞，以及1個尚未公開但風險值9.8的Azure管理元件漏洞。

本次修補的漏洞最受矚目的是編號CVE-2021-40444的漏洞，它位於Windows內微軟瀏覽器引擎MSHTML，但影響也使用MHTML引擎的Office用戶。攻擊者傳送的惡意Office檔案一經用戶開啟，即開啟攻擊者控制的惡意網頁，並啟用ActiveX控制下載惡意Cpl檔。開採行動可引發遠端程式碼執行，最嚴重導致攻擊者接管Windows機器。

這項漏洞影響Windows 7到Windows 10，以及Server 2008以後版本。安全研究人員已在Office 365及Office 2016上複製出攻擊。

微軟上周提供以關閉IE中ActiveX來緩解攻擊，也說明Office環境下可以「安全檢視」模式維護用戶安全，但是研究人員說明CVE-2021-40444威脅比想像中來得大，因為壓縮檔（.arj、.gzip）或磁碟映像檔（.iso、.vhd）都可以繞過「安全檢視」，使這漏洞比惡意巨集的安全威脅更大。

網路上周已經開始流傳可開採CVE-2021-40444的惡意文件。研究人員發現，Docx、.RTF、Excel到PowerPoint等不一而足。安全專家包括CERT/CC研究員Will Dormann已測試出在啟用ActiveX緩解措施的PC上，依然能開啟Office文件執行惡意程式的方法。

本次還有另一個漏洞CVE-2021-36968已遭公開，不過所幸尚無開採活動。它是位於Windows DNS中，風險值7.8的權限升級（EoP）漏洞。

其他漏洞方面，較值得注意的有幾個：一是CVE-2021-38647，位於Azure Open Management Infrastructure (OMI)管理元件，攻擊者不需驗證即可以根（root）權限在Azure VM執行程式碼，風險值9.8，屬重大漏洞。Azure OMI同時還被修補了3個高風險的EoP漏洞（CVE-2021-38645、CVE-2021-38648、及CVE-2021-38649） 。

另一重大漏洞CVE-2021-36965是Windows WLAN AutoConfig Service漏洞，可導致用戶在公開Wi-Fi網路環境下，遭遠端程式碼執行（RCE）攻擊，風險值8.8。

其他風險值7.0到7.9之間的漏洞中，微軟修補了列印多工緩衝服務Print Pooler 3個漏洞，包括CVE-2021-38667、CVE-2021-38671和CVE-2021-40447。研究人員呼籲應優先部署修補程式，因為攻擊者可在開採駭入網路後持續活動。

此外，Windows Common Log File System（CLFS）驅動程式內含3個權限升級漏洞（CVE-2021-36955、CVE-2021-36963及CVE-2021-38633）。研究人員相信，這驅動程式在所有Windows版本都支援，雖然尚未有攻擊活動，但開採容易，不可掉以輕心。