在9月的Patch Tuesday發(fā)布的一系列安全補(bǔ)丁中，微軟發(fā)布了66個(gè)CVE的補(bǔ)丁，其中三個(gè)被列為微軟四級劃分系統(tǒng)中的重大（critical）等級，這三個(gè)之中一個(gè)名為Windows MSHTML的0day漏洞已經(jīng)受到了近兩周的積極攻擊。

　　另一個(gè)bug被列為公開已知但尚未被利用。Immersive Labs的網(wǎng)絡(luò)威脅研究主管Kevin Breen觀察到，只有一個(gè)CVE在野外受到積極攻擊。

　　這些漏洞存在于Microsoft Windows和Windows組件、Microsoft Edge（Chromium、iOS和Android）、Azure、Office和Office組件、SharePoint Server、Microsoft Windows DNS和適用于Linux的Windows子系統(tǒng)中。

　　這次修補(bǔ)的66個(gè)新CVE中，三個(gè)被評為重大（Critical），62個(gè)被評為重要（Important），一個(gè)被評為中等（Moderate）。

　　在2021年的過去9個(gè)月中，這是微軟第7個(gè)次修補(bǔ)不到100個(gè)CVE補(bǔ)丁，這與2020年形成鮮明對比，當(dāng)時(shí)雷德蒙德花費(fèi)了8個(gè)月的時(shí)間每月發(fā)布超過100個(gè)CVE補(bǔ)丁。但是，正如零日計(jì)劃所指出的那樣，雖然漏洞的總數(shù)較少，但嚴(yán)重性評級卻有所上升。

　　一些觀察家認(rèn)為，本月的補(bǔ)丁優(yōu)先級最高的是修復(fù)cve-2020-40444：微軟MSHTML（Trident）引擎上的一個(gè)重要漏洞，在CVSS等級上的評分為8.8（滿分10分）。

　　在9月7日披露的消息中，研究人員開發(fā)了許多概念驗(yàn)證（PoC）漏洞，表明利用它是多么簡單，而且攻擊者一直在分享有關(guān)利用的指南。

　　受到積極攻擊：CVE-2021-40444

　　自從這個(gè)嚴(yán)重的、易于利用的漏洞受到主動(dòng)攻擊以來，已經(jīng)將近兩周了，距攻擊者分享執(zhí)行漏洞利用的藍(lán)圖也已經(jīng)將近一周了。

　　微軟上周表示，該漏洞可能讓攻擊者“制作一個(gè)惡意ActiveX控件，供托管瀏覽器渲染引擎的Microsoft Office文檔使用”，然后“攻擊者必須說服用戶打開惡意文檔?！辈恍业氖?，惡意宏攻擊繼續(xù)盛行：例如，在7月，Microsoft Excel的老用戶成為惡意軟件活動(dòng)的目標(biāo)，該活動(dòng)使用新型惡意軟件混淆技術(shù)禁用惡意宏警告并傳播ZLoader木馬。

　　攻擊者需要說服用戶打開包含漏洞利用代碼的特制Microsoft Office文檔。

　　Tenable的研究工程師Satnam Narang通過電子郵件指出，有警告稱此漏洞將被納入惡意軟件有效payload并用于傳播勒索軟件：有充分的理由將該補(bǔ)丁放在優(yōu)先列表頂部。

　　Narang告訴Threatpost：“目前還沒有跡象表明這種情況已經(jīng)發(fā)生，但隨著補(bǔ)丁的發(fā)布，組織應(yīng)該優(yōu)先考慮盡快更新他們的系統(tǒng)?！?/p>

　　上周三，也就是9月8日，英國時(shí)尚零售商Arcadia Group安全運(yùn)營中心負(fù)責(zé)人、微軟前任高級威脅情報(bào)分析師Kevin Beaumont指出，該漏洞已經(jīng)存在了大約一周或更長時(shí)間。

　　更糟的是，上周四，也就是9月9日，威脅行為者開始分享Windows MSHTML 0day漏洞利用方法和PoCs。BleepingComputer嘗試了一下，發(fā)現(xiàn)這些指南“簡單易懂并允許任何人創(chuàng)建他們自己的漏洞利用版本”，“包括用于分發(fā)惡意文檔和CAB文件的Python服務(wù)器。”

　　該出版物花了15分鐘的時(shí)間來重新創(chuàng)建漏洞利用。

　　一周前，也就是9月7日，星期二，微軟和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）敦促緩解遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，該漏洞存在于所有現(xiàn)代Windows操作系統(tǒng)中。

　　上周，該公司沒有過多提及MSHTML（又名Trident）中的漏洞，它是自20多年前Internet Explorer首次亮相以來內(nèi)置于Windows中的HTML引擎，它允許Windows讀取和顯示HTML文件。

　　然而，微軟確實(shí)表示，它知道有針對性的攻擊試圖通過特制的Microsoft Office文檔來利用它。

　　盡管當(dāng)時(shí)還沒有針對該漏洞的安全更新可用，但MIcrosoft還是繼續(xù)披露了它，并發(fā)布了旨在幫助防止漏洞利用的緩解措施。

　　不能緩解的緩解措施

　　該漏洞被跟蹤為CVE-2021-40444，其嚴(yán)重程度足以使CISA發(fā)送建議提醒用戶和管理員，并建議他們使用微軟推薦的緩解措施和解決方法——緩解措施試圖通過在Windows資源管理器中。

　　不幸的是，這些緩解措施被證明并非萬無一失，因?yàn)榘˙eaumont在內(nèi)的研究人員設(shè)法修改了漏洞利用，使其不使用ActiveX，從而有效地繞過了Microsoft的緩解措施。

　　The Zero Day Initiative表示，目前最有效的防御是“應(yīng)用補(bǔ)丁并避免您不希望收到的Office文檔?！?/p>

　　請務(wù)必仔細(xì)檢查并安裝您的設(shè)置所需的所有補(bǔ)?。横槍μ囟ㄆ脚_(tái)有很長的更新列表，別讓你的保護(hù)層過于單薄。

　　此bug的發(fā)現(xiàn)歸功于MSTIC的Rick Cole；Mandiant的Bryce Abdo、Dhanesh Kizhakkinan和Genwei Jiang和來自EXPMON的Haifei Li。

　　最嚴(yán)重Bug

　　CVE-2021-38647：開放管理基礎(chǔ)設(shè)施中的一個(gè)高危的遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，最嚴(yán)重的bug——或者至少是嚴(yán)重性評級最高的bug，CVSS得分為9.8。

　　OMI：一個(gè)開源項(xiàng)目，旨在進(jìn)一步開發(fā)DMTF CIM/WBEM標(biāo)準(zhǔn)的生產(chǎn)質(zhì)量實(shí)現(xiàn)。

　　Zero Day Initiave解釋說：“此漏洞不需要用戶交互或權(quán)限，因此攻擊者只需向受攻擊的系統(tǒng)發(fā)送特制的消息即可在受攻擊的系統(tǒng)上運(yùn)行他們的代碼?！边@使其具有高優(yōu)先級：ZDI建議OMI用戶快速測試和部署它。

　　還有更多PrintNightmare補(bǔ)丁

　　微軟還修補(bǔ)了Windows Print Spooler中的三個(gè)提權(quán)漏洞（CVE-2021-38667、CVE-2021-38671和CVE-2021-40447），都被評為重要（important）。

　　這是繼6月份PrintMonthmary被披露后，針對Windows打印后臺(tái)處理程序缺陷的一系列補(bǔ)丁中的三個(gè)最新補(bǔ)丁。這可能不會(huì)是游行中的最后一個(gè)補(bǔ)?。篢enable的Narang告訴Threatpost，“研究人員繼續(xù)尋找利用Print Spooler的方法”，并且該公司希望“繼續(xù)在該領(lǐng)域進(jìn)行研究”。

　　在今天的三個(gè)修補(bǔ)程序中，只有一個(gè)CVE-2021-38671被評為“更有可能被利用”。無論如何，組織應(yīng)該優(yōu)先修補(bǔ)這些缺陷，因?yàn)椤八鼈儗τ诤舐┒蠢秒A段的攻擊者來說非常有價(jià)值?！?/p>

　　更多“更有可能被利用”

　　Immersive的Breen告訴Threatpost，Windows通用日志文件系統(tǒng)驅(qū)動(dòng)程序中的三個(gè)本地提權(quán)漏洞（CVE-2021-36955、CVE-2021-36963、CVE-2021-38633）也值得注意，它們都被列為“更有可能被利用?！?/p>

　　布林通過電子郵件說：“本地priv-esc漏洞是幾乎所有成功網(wǎng)絡(luò)攻擊的關(guān)鍵組成部分，特別是對于勒索軟件運(yùn)營商等濫用此類漏洞以獲得最高訪問級別的人來說?！薄斑@使他們能夠禁用防病毒軟件、刪除備份，并確保他們的加密程序可以訪問最敏感的文件。”

　　一個(gè)明顯的例子出現(xiàn)在5月份，當(dāng)時(shí)發(fā)現(xiàn)數(shù)億戴爾用戶面臨內(nèi)核權(quán)限漏洞的風(fēng)險(xiǎn)。這些漏洞潛伏了12年未公開，可能允許攻擊者繞過安全產(chǎn)品、執(zhí)行代碼并轉(zhuǎn)移到網(wǎng)絡(luò)的其他部分進(jìn)行橫向移動(dòng)。

　　微軟周二修補(bǔ)的三個(gè)漏洞并非遙不可及，這意味著攻擊者需要通過其他方式實(shí)現(xiàn)代碼執(zhí)行。其中一種方式是通過CVE-2021-40444。

　　另外兩個(gè)漏洞——CVE-2021-38639和CVE-2021-36975，都是Win32k權(quán)限提升漏洞——也被列為“更有可能被利用”漏洞，并且涵蓋了所有受支持的Windows版本。

　　Breen說，特權(quán)升級漏洞的嚴(yán)重性風(fēng)險(xiǎn)沒有RCE漏洞那么高，但“這些本地漏洞可能是有經(jīng)驗(yàn)的攻擊者在后漏洞利用階段的關(guān)鍵?！薄叭绻隳茉谶@里阻止他們，你就有可能大大限制他們的損害?！?/p>

　　他補(bǔ)充說，“如果我們假設(shè)一個(gè)確定的攻擊者能夠通過社會(huì)工程或其他技術(shù)感染受害者的設(shè)備，我認(rèn)為修補(bǔ)priv-esc漏洞甚至比修補(bǔ)其他一些遠(yuǎn)程代碼執(zhí)行漏洞更重要。”

　　RCE也很重要

　　Danny Kim是Virsec的首席架構(gòu)師，他在畢業(yè)于微軟的操作系統(tǒng)安全開發(fā)團(tuán)隊(duì)期間曾在微軟工作過，他希望安全團(tuán)隊(duì)關(guān)注CVE-2021-36965——一個(gè)重要的Windows WLAN自動(dòng)配置服務(wù)RCE漏洞——鑒于其嚴(yán)重程度的組合（CVSS：3.0基礎(chǔ)評分為8.8）、無需權(quán)限提升/用戶交互即可利用以及受影響的Windows版本范圍。

　　WLAN 自動(dòng)配置服務(wù)是 Windows 10 用來分別選擇計(jì)算機(jī)將連接到的無線網(wǎng)絡(luò)和 Windows 腳本引擎的機(jī)制的一部分。

　　該補(bǔ)丁修復(fù)了一個(gè)缺陷，該缺陷可能允許鄰近網(wǎng)絡(luò)的攻擊者在系統(tǒng)級別在受影響的系統(tǒng)上運(yùn)行他們的代碼。

　　正如Zero Day Initiative所解釋的那樣，這意味著攻擊者可以“完全接管目標(biāo)——只要他們在相鄰的網(wǎng)絡(luò)上?！边@在coffee-shop攻擊中會(huì)派上用場，因?yàn)樵谀抢锒嗳耸褂貌话踩腤i-Fi網(wǎng)絡(luò)。

　　這“特別令人震驚”，Kim說：“想想SolarWinds和PrintNightmare?！?/p>

　　他在一封電子郵件中說：“最近的趨勢表明，基于遠(yuǎn)程代碼執(zhí)行的攻擊是對企業(yè)造成最大負(fù)面影響的最關(guān)鍵的漏洞，正如我們在Solarwinds和PrintNightmare攻擊中看到的那樣?！?/p>

　　Kim表示，盡管漏洞利用代碼的成熟度目前尚未得到證實(shí)，但該漏洞已被確認(rèn)存在，為攻擊者留下了漏洞。

　　“這取決于位于同一網(wǎng)絡(luò)中的攻擊者，因此看到此漏洞與另一個(gè)CVE/攻擊結(jié)合使用以實(shí)現(xiàn)攻擊者的最終目標(biāo)也就不足為奇了?！薄斑h(yuǎn)程代碼執(zhí)行攻擊可能導(dǎo)致未經(jīng)驗(yàn)證的進(jìn)程在服務(wù)器工作payload上運(yùn)行，這只會(huì)凸顯對持續(xù)、確定性運(yùn)行時(shí)監(jiān)控的需求。如果沒有這種保護(hù)，RCE攻擊可能會(huì)導(dǎo)致企業(yè)數(shù)據(jù)的機(jī)密性和完整性完全喪失。”

　　The Zero Day Initiative也發(fā)現(xiàn)了這個(gè)令人擔(dān)憂的問題。即使它需要接近目標(biāo)，它也不需要特權(quán)或用戶交互，所以“不要讓這個(gè)bug的相鄰方面降低嚴(yán)重性?！薄耙欢ㄒ焖贉y試和部署這個(gè)補(bǔ)丁?！?/p>

　　不要忘記修補(bǔ)Chrome

　　Breen通過電子郵件告訴Threatpost，安全團(tuán)隊(duì)還應(yīng)注意Chrome中修補(bǔ)并移植到微軟基于Chrome的Edge的25個(gè)漏洞。

　　他說，畢竟瀏覽器是了解隱私、敏感信息和任何對犯罪分子有價(jià)值事物的窗口。

　　他強(qiáng)調(diào)說：“我不能低估給瀏覽器打補(bǔ)丁并使其保持最新狀態(tài)的重要性?！薄爱吘梗瑸g覽器是我們與包含各種高度敏感、有價(jià)值和私人信息的互聯(lián)網(wǎng)和基于web服務(wù)進(jìn)行交互的方式。無論您是在考慮您的網(wǎng)上銀行業(yè)務(wù)還是您組織的網(wǎng)絡(luò)應(yīng)用程序收集和存儲(chǔ)的數(shù)據(jù)，它們都可能被利用瀏覽器的攻擊所暴露。”