又到每月的漏洞補(bǔ)丁日了，很多國(guó)際廠商和微軟一樣，喜歡在周二發(fā)布其產(chǎn)品安全補(bǔ)丁，如Adobe、Android、Cisco、Citrix、Intel、Linux distributions Oracle Linux, Red Hat, SUSE、Samba、SAP、Schneider Electric、Siemens等。而這次微軟為其產(chǎn)品的55個(gè)漏洞發(fā)布了補(bǔ)丁，產(chǎn)品涉及 Microsoft Windows 和 Windows 組件、Azure、Azure RTOS、Azure Sphere、Microsoft Dynamics、Microsoft Edge（基于 Chromium）、Exchange Server、Microsoft Office 和 Office 組件、Windows Hyper-V等，其中包括對(duì) Excel 和 Exchange Server 中兩個(gè)被積極利用的零日漏洞的修復(fù)?？赡軙?huì)被濫用以控制受影響的系統(tǒng)。

　　從歷史上看，今年的11 月份的 55 個(gè)補(bǔ)丁是一個(gè)相對(duì)較低的數(shù)字。去年，涉及的CVE漏洞數(shù)量則多的多，回到 2018 年全年僅修復(fù) 691 個(gè) CVE 的情況，但當(dāng)年11 月修復(fù)的 CVE 也比本月更多。鑒于 12 月通常是補(bǔ)丁方面較慢的月份，因此人們懷疑是否由于各種因素導(dǎo)致等待部署的補(bǔ)丁積壓。多年來(lái)，微軟在整個(gè)行業(yè)中只看到增加的補(bǔ)丁后，發(fā)布更少的補(bǔ)丁似乎很奇怪。

　　國(guó)外安全媒體在介紹Exchange Server 漏洞時(shí)，提到也是上個(gè)月在我國(guó)天府杯上展示的漏洞之一，最關(guān)鍵的漏洞是CVE-2021-42321（CVSS 評(píng)分：8.8）和CVE-2021-42292（CVSS 評(píng)分：7.8），每個(gè)都涉及Microsoft Exchange Server 中的認(rèn)證后遠(yuǎn)程代碼執(zhí)行漏洞和安全繞過漏洞分別影響 Microsoft Excel 版本 2013-2021。在 55 個(gè)漏洞中有6 個(gè)被評(píng)為嚴(yán)重，49 個(gè)為重要，另外 4 個(gè)在發(fā)布時(shí)被列為公開已知。

　　微軟今年早些時(shí)候曾經(jīng)警告說 APT Group HAFNIUM 正在利用Microsoft Exchange 服務(wù)器中的四個(gè)零日漏洞，這演變成 DearCry Ransomware 對(duì) Exchange 服務(wù)器漏洞的利用——包括對(duì)傳染病研究人員、律師事務(wù)所、大學(xué)、國(guó)防承包商、政策智囊團(tuán)和非政府組織的攻擊。諸如此類的實(shí)例進(jìn)一步強(qiáng)調(diào)了 Microsoft Exchange 服務(wù)器是高價(jià)值目標(biāo)希望滲透關(guān)鍵網(wǎng)絡(luò)的黑客。

　　四個(gè)公開披露但未被利用的漏洞——

　　CVE-2021-43208（CVSS 評(píng)分：7.8）——3D 查看器遠(yuǎn)程代碼執(zhí)行漏洞

　　CVE-2021-43209（CVSS 評(píng)分：7.8）——3D 查看器遠(yuǎn)程代碼執(zhí)行漏洞

　　CVE-2021-38631（CVSS 評(píng)分：4.4）——Windows 遠(yuǎn)程桌面協(xié)議 （RDP） 信息泄露漏洞

　　CVE-2021-41371（CVSS 評(píng)分：4.4）——Windows 遠(yuǎn)程桌面協(xié)議 （RDP） 信息泄露漏洞

　　首先是三個(gè)可能導(dǎo)致信息泄露的 Azure RTOS 補(bǔ)丁，盡管微軟沒有說明可以泄露什么類型的信息。同樣，需要重新編譯和重新部署才能阻止惡意 USB 攻擊。更令人不安的是，RDP 中有兩個(gè)公開的信息披露錯(cuò)誤，可能允許 RDP 管理員讀取訪問 Windows RDP 客戶端密碼。

　　FSLogix 中修復(fù)了一個(gè)信息披露錯(cuò)誤，可能允許攻擊者泄露通過 FSLogix 云緩存重定向到配置文件或 Office 容器的用戶數(shù)據(jù)，其中包括用戶配置文件設(shè)置和文件。令人驚訝的是，10 個(gè)信息披露錯(cuò)誤中只有一個(gè)會(huì)導(dǎo)致由未指定內(nèi)存內(nèi)容組成的泄漏。

　　三個(gè)信息披露會(huì)影響 Azure Sphere 設(shè)備，但如果這些設(shè)備連接到 Internet，它們應(yīng)該會(huì)自動(dòng)接收更新。Azure Sphere 中還修復(fù)了一個(gè)篡改錯(cuò)誤，但同樣，如果已連接到 Internet，則無(wú)需采取任何措施。

　　沒有權(quán)限的遠(yuǎn)程攻擊者可以在所有受支持的 Windows 版本（包括 Windows 11）上創(chuàng)建 DoS。目前尚不清楚這是否會(huì)導(dǎo)致系統(tǒng)掛起或重啟，但無(wú)論哪種方式，都不要繞過這種有影響力的 DoS。另外兩個(gè) DoS 錯(cuò)誤會(huì)影響 Hyper-V，其中之一需要啟用 GRE。

　　除了已經(jīng)提到的 Excel 錯(cuò)誤之外，11 月僅修復(fù)了一個(gè)其他安全功能繞過 （SFB），會(huì)影響 Windows 10 和 Server 2019 系統(tǒng)上的 Windows Hello。沒有提供詳細(xì)信息，但僅從組件和影響來(lái)看，似乎有一種方法可以在不使用 PIN、面部識(shí)別或指紋的情況下訪問受影響的系統(tǒng)。如果您使用此功能進(jìn)行身份驗(yàn)證，您可能需要禁用它，直到您確定所有受影響的系統(tǒng)都已修補(bǔ)。

　　最后，11 月發(fā)布的版本包含對(duì)四個(gè)欺騙錯(cuò)誤的修復(fù)，其中一個(gè)針對(duì) Exchange，當(dāng)您尋找它時(shí)必須很明顯，因?yàn)槲④洺姓J(rèn)八位不同的研究人員都報(bào)告了它。當(dāng)然，他們沒有提供有關(guān)此補(bǔ)丁、其他 Exchange 欺騙錯(cuò)誤或在 IE 模式下通過 Edge（基于 Chrome 的）欺騙錯(cuò)誤修復(fù)的欺騙類型的信息。Microsoft 確實(shí)聲明 Power BI 報(bào)表服務(wù)器的修復(fù)程序解決了模板文件中的跨站點(diǎn)腳本 （XSS） 和跨站點(diǎn)請(qǐng)求偽造 （CSRF） 漏洞。