您知道周二補(bǔ)丁日嗎？電腦愛好者或安全行業(yè)人士也許都知道，所謂“周二補(bǔ)丁日（Patch Tuesday）”是指微軟在每個(gè)月的第二個(gè)星期二定期發(fā)布系統(tǒng)更新補(bǔ)丁的日子。每個(gè)月的第二個(gè)周二更新是微軟安全更新的傳統(tǒng)做法，當(dāng)然除此之外，微軟還會(huì)根據(jù)具體情況不定期發(fā)布緊急補(bǔ)丁。剛剛過去的10月12日正是周二補(bǔ)丁日，讓我們看看近期微軟和Adobe都修復(fù)了哪些重要漏洞。

　　微軟共修復(fù)了71個(gè)漏洞

　　微軟在10月12日的周二補(bǔ)丁日共修復(fù)了 71個(gè)安全漏洞。其中，最重要的是Win32k驅(qū)動(dòng)中發(fā)現(xiàn)的特權(quán)提升漏洞，經(jīng)分析該漏洞存在致命風(fēng)險(xiǎn)。據(jù)了解，該漏洞已經(jīng)被某APT組織用于攻擊各種公司和機(jī)構(gòu)。至少從今年8月開始，攻擊活動(dòng)就一直在進(jìn)行。

　　這個(gè)有問題的零日漏洞是CVE-2021-40449，它是一種UaF漏洞。該漏洞在Win32k內(nèi)核驅(qū)動(dòng)程序中被發(fā)現(xiàn)，如果它被成功利用，便可以提升權(quán)限。但是，它不能被遠(yuǎn)程利用。卡巴斯基在調(diào)查今年8月和9月Windows 服務(wù)器上發(fā)現(xiàn)的各種攻擊案例時(shí)，發(fā)現(xiàn)并報(bào)告了該漏洞。 但它已被黑客組織使用。

　　這個(gè)黑客組織是一個(gè)名為“Iron Husky”的組織，該組織至少自 2012 年以來一直活躍。該組織利用“零日攻擊”主要針對國防、IT公司和通訊領(lǐng)域等，卡巴斯基將這類威脅稱為“神秘蝸牛（Mystery Snail）”。

　　卡巴斯基的安全研究員鮑里斯？拉林（Boris Larin）將該零日漏洞描述為“易于利用，且可以讓攻擊者獲得對裝備的完全控制權(quán)限。如果能夠成功利用此漏洞，攻擊者幾乎可以做任何事情。既可以竊取身份認(rèn)證的憑據(jù)，也可以攻擊同一網(wǎng)絡(luò)上的其他設(shè)備，還能確保攻擊的持續(xù)性?！?/p>

　　值得慶幸的是，該漏洞的利用代碼并未公開，它僅被黑客組織秘密操作使用。但是，由于不知道誰會(huì)成為Iron Husky的攻擊對象（即任何人都有可能成為Iron Husky攻擊對象），因此建議緊急修補(bǔ)此漏洞。該漏洞存在于 Win32k 內(nèi)核驅(qū)動(dòng)程序中。它是操作系統(tǒng)最重要的部分之一。除了打補(bǔ)丁之外，沒有其它針對此漏洞的修復(fù)程序。

　　安全公司Breach Quest的CTO杰克？威廉姆斯（Jake Williams）解釋說：“雖然此次披露的零日漏洞不能被遠(yuǎn)程利用，但也絕對不能被忽視。攻擊者們不會(huì)因?yàn)闊o法進(jìn)行遠(yuǎn)程攻擊而放棄。他們可以繞過端點(diǎn)控制并通過網(wǎng)絡(luò)釣魚攻擊或利用其它漏洞來執(zhí)行惡意操作。遠(yuǎn)程攻擊的可能與不可能不再是判斷攻擊難度的因素?！?/p>

　　此外，他還強(qiáng)調(diào)說，“漏洞利用代碼尚未公開的事實(shí)也不是令人放心的因素。如果原來的攻擊者利用該漏洞，其他攻擊者也會(huì)開始利用。我曾多次遇到過，先進(jìn)的攻擊工具、技術(shù)訣竅、戰(zhàn)略戰(zhàn)術(shù)或代碼被傳遞給其他網(wǎng)絡(luò)犯罪組織，并由具有更高攻擊技能的APT組織升級。這是一個(gè)永遠(yuǎn)存在的趨勢，什么時(shí)候普及，只是時(shí)間問題?！?/p>

　　值得注意的是，在此次定期補(bǔ)丁發(fā)布前微軟就披露并修復(fù)了3個(gè)零日漏洞。與上述零日漏洞不同，這3個(gè)漏洞目前尚未在實(shí)際攻擊中被利用。它們分別是：

　　1）CVE-2021-40469：在Windows DNS服務(wù)器中發(fā)現(xiàn)的遠(yuǎn)程代碼執(zhí)行漏洞。

　　2）CVE-2021-41335：在Windows內(nèi)核發(fā)現(xiàn)的特權(quán)提升漏洞。

　　3）CVE-2021-41338：在Windows App Container防火墻中發(fā)現(xiàn)的安全功能繞過漏洞。

　　微軟認(rèn)為，這3個(gè)漏洞雖然被分類為“零日漏洞”，但實(shí)際應(yīng)用于攻擊的概率較低。

　　此外，美國國家安全局（NSA）認(rèn)為此次修復(fù)的漏洞中一個(gè)值得注意的漏洞是CVE-2021-26427。這是在Microsoft Exchange服務(wù)器中發(fā)現(xiàn)的新漏洞。Exchange服務(wù)器是今年最熱門的IT基礎(chǔ)設(shè)施組件之一，幾乎全年都在不斷受到黑客的攻擊。值得注意的是，攻擊者要想利用該漏洞必須和受害者處于同一個(gè)本地網(wǎng)絡(luò)中。

　　今年夏天持續(xù)出現(xiàn)問題的Print Spooler組件中再次發(fā)現(xiàn)了新漏洞——CVE-2021-36970。雖然這不是一個(gè)嚴(yán)重的漏洞，但它被標(biāo)記為“更具可利用性”。這是一個(gè)可以進(jìn)行一種欺騙攻擊的漏洞，就像今年發(fā)現(xiàn)的另一個(gè)打印后臺(tái)處理程序漏洞“打印噩夢（Print Nightmare）”一樣，它很可能被主動(dòng)利用而造成傷害。安全研究員ollypwn在推特上發(fā)帖指出：欺騙性漏洞攻擊者可以冒充或被識別為另一個(gè)用戶，并通過濫用Spooler服務(wù)將任意文件上傳至其它服務(wù)器。

　　其它值得注意的漏洞還包括影響Windows Hyper-V（CVE-2021-38672和CVE-2021-40461）、SharePoint服務(wù)器（CVE-2021-40487和CVE-2021-41344）和Microsoft Word（CVE-2021-40486）的遠(yuǎn)程代碼執(zhí)行漏洞，以及富文本編輯控制（CVE-2021-40454）的信息泄露漏洞等。

　　Adobe共修補(bǔ)了10個(gè)漏洞

　　專門從事圖形解決方案的Adobe在近期常規(guī)補(bǔ)丁日修補(bǔ)了10個(gè)安全漏洞，其中4個(gè)漏洞被歸類為致命風(fēng)險(xiǎn)。受這些漏洞影響的Adobe產(chǎn)品包括Acrobat、Reader、Connect、Commerce、Ops-cli和 Campaign Standard等。但是，Adobe方面認(rèn)為這些漏洞被實(shí)際利用的可能性很低。

　　“

　　首先，修補(bǔ)了Acrobat和Reader（適用于Windows和Mac OS）中的四個(gè)漏洞，它們分別是：

　　1）CVE-2021-40728：任意代碼執(zhí)行漏洞

　　2）CVE-2021-40731：任意代碼執(zhí)行漏洞

　　3）CVE-2021-40729：特權(quán)提升漏洞

　　4）CVE-2021-40720：特權(quán)提升漏洞

　　其中，1號和2號漏洞分別因?yàn)闀?huì)出現(xiàn)UaF和越界（Out of Bounds）錯(cuò)誤，而被歸類為具有致命風(fēng)險(xiǎn)的漏洞。3號和4號漏洞被歸類為具有中等風(fēng)險(xiǎn)的漏洞。

　　其次，在Campaign Standard 產(chǎn)品（適用于Windows和Linux系統(tǒng)）中發(fā)現(xiàn)并修補(bǔ)了一個(gè)跨站腳本攻擊（XSS）漏洞。據(jù)分析，該漏洞也具有致命風(fēng)險(xiǎn)。

　　再次，在Connect產(chǎn)品中也發(fā)現(xiàn)并修補(bǔ)了一個(gè)XSS漏洞，但經(jīng)分析，該漏洞在本產(chǎn)品中并不致命。在 Connect 中還發(fā)現(xiàn)的另一個(gè)漏洞——代碼執(zhí)行漏洞，具有致命風(fēng)險(xiǎn)。這是一個(gè)與不可靠數(shù)據(jù)的反序列化相關(guān)的漏洞。 此外，與數(shù)據(jù)反序列化相關(guān)的漏洞還出現(xiàn)在Adobe Ops-cli中。據(jù)悉，Adobe的Ops-cli是一個(gè)基于 Python 的開源rapper，只在Adobe內(nèi)部使用。

　　最后，在Adobe Commerce產(chǎn)品中也發(fā)現(xiàn)了一個(gè)XSS的漏洞。雖然該漏洞是一個(gè)”存儲(chǔ)型XSS（Stored XSS）“漏洞，但它最終被歸類為高危風(fēng)險(xiǎn)漏洞。Adobe警告說，該漏洞可能是一個(gè)非常危險(xiǎn)的漏洞，因?yàn)樗梢栽诓唤?jīng)過身份驗(yàn)證程序的情況下被利用。

　　在此次Adobe修補(bǔ)的10個(gè)漏洞中，目前尚未發(fā)現(xiàn)被攻擊者利用的跡象。即使一些漏洞存在致命風(fēng)險(xiǎn)，但Adobe分析認(rèn)為，這些漏洞實(shí)際利用的可能性很低。盡管如此，對于擁有Acrobat Reader產(chǎn)品的用戶來說，由于該產(chǎn)品用戶數(shù)量較多，很可能會(huì)引起攻擊者的關(guān)注，因此及時(shí)修復(fù)補(bǔ)丁才會(huì)比較安全。

　　結(jié)語

　　研究表明，操作系統(tǒng)和應(yīng)用軟件的漏洞，經(jīng)常會(huì)成為黑客攻擊的突破口。解決漏洞問題最直接最有效的辦法就是打補(bǔ)丁。但打補(bǔ)丁是比較被動(dòng)的方式，對于企業(yè)來說，收集、測試、備份、分發(fā)等相關(guān)的打補(bǔ)丁流程仍然是一個(gè)頗為繁瑣的過程，甚至有的補(bǔ)丁本身就有可能成為新的漏洞。

　　為解決補(bǔ)丁管理上的混亂，首先需要建立一個(gè)覆蓋整個(gè)網(wǎng)絡(luò)的自動(dòng)化補(bǔ)丁數(shù)據(jù)庫；其次是部署一個(gè)分發(fā)系統(tǒng)，提高補(bǔ)丁分發(fā)效率。另外，不僅是補(bǔ)丁管理程序，整個(gè)漏洞管理系統(tǒng)還需要與企業(yè)的防入侵系統(tǒng)、防病毒系統(tǒng)等其他安全系統(tǒng)集成，從而構(gòu)筑一條完整的風(fēng)險(xiǎn)管理防線。

　　由此可見，無論對于政府部門、企業(yè)組織，還是個(gè)人來說，及時(shí)更新程序、打補(bǔ)丁修復(fù)漏洞是保障我們網(wǎng)絡(luò)安全的重要舉措之一。要養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣就讓我們從及時(shí)打補(bǔ)丁開始。今天您的程序更新了嗎？