情境示意圖,Photo by Ryoji Iwata on unsplash

周二微軟釋出9月份Patch Tuesday安全更新,修補66項漏洞,包含已經出現開採程式的Windows MSHTML瀏覽器引擎漏洞,以及1個尚未公開但風險值9.8的Azure管理元件漏洞。

本次修補的漏洞最受矚目的是編號CVE-2021-40444的漏洞,它位於Windows內微軟瀏覽器引擎MSHTML,但影響也使用MHTML引擎的Office用戶。攻擊者傳送的惡意Office檔案一經用戶開啟,即開啟攻擊者控制的惡意網頁,並啟用ActiveX控制下載惡意Cpl檔。開採行動可引發遠端程式碼執行,最嚴重導致攻擊者接管Windows機器。

這項漏洞影響Windows 7到Windows 10,以及Server 2008以後版本。安全研究人員已在Office 365及Office 2016上複製出攻擊。

微軟上周提供以關閉IE中ActiveX來緩解攻擊,也說明Office環境下可以「安全檢視」模式維護用戶安全,但是研究人員說明CVE-2021-40444威脅比想像中來得大,因為壓縮檔(.arj、.gzip)或磁碟映像檔(.iso、.vhd)都可以繞過「安全檢視」,使這漏洞比惡意巨集的安全威脅更大。

網路上周已經開始流傳可開採CVE-2021-40444的惡意文件。研究人員發現,Docx、.RTF、Excel到PowerPoint等不一而足。安全專家包括CERT/CC研究員Will Dormann已測試出在啟用ActiveX緩解措施的PC上,依然能開啟Office文件執行惡意程式的方法。

本次還有另一個漏洞CVE-2021-36968已遭公開,不過所幸尚無開採活動。它是位於Windows DNS中,風險值7.8的權限升級(EoP)漏洞。

其他漏洞方面,較值得注意的有幾個:一是CVE-2021-38647,位於Azure Open Management Infrastructure (OMI)管理元件,攻擊者不需驗證即可以根(root)權限在Azure VM執行程式碼,風險值9.8,屬重大漏洞。Azure OMI同時還被修補了3個高風險的EoP漏洞(CVE-2021-38645CVE-2021-38648、及CVE-2021-38649) 。

另一重大漏洞CVE-2021-36965是Windows WLAN AutoConfig Service漏洞,可導致用戶在公開Wi-Fi網路環境下,遭遠端程式碼執行(RCE)攻擊,風險值8.8。

其他風險值7.0到7.9之間的漏洞中,微軟修補了列印多工緩衝服務Print Pooler 3個漏洞,包括CVE-2021-38667CVE-2021-38671CVE-2021-40447。研究人員呼籲應優先部署修補程式,因為攻擊者可在開採駭入網路後持續活動。

此外,Windows Common Log File System(CLFS)驅動程式內含3個權限升級漏洞(CVE-2021-36955CVE-2021-36963CVE-2021-38633)。研究人員相信,這驅動程式在所有Windows版本都支援,雖然尚未有攻擊活動,但開採容易,不可掉以輕心。


熱門新聞

Advertisement