记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

微软8月补丁星期二值得关注的几个0day、几个严重漏洞及其它

2021-08-11 20:09

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


今天,微软发布8月补丁星期二,共修复了44个漏洞,其中7个被评级为“严重”级别,3个是0day 且其中1个已遭利用。



受影响工具


其中13个补丁和远程代码执行漏洞有关,而另外8个和信息泄露漏洞有关。受影响的工具包括 .NET Core & Visual Studio、ASP.NET Core & Visual Studio、Azure、Windows Update、Windows Print Spooler Components、Windows Media、Windows Defender、Remote Desktop Client、Microsoft Dynamics、Microsoft Edge (Chromium-based)、Microsoft Office、Microsoft Office Word、Microsoft Office SharePoint等。


3个0day,其中1个遭在野利用


本次微软修复的3个0day如下:

  • CVE-2021-36948:Windows Update Medic Service 提权漏洞

  • CVE-2021-36942:Windows LSA 欺骗漏洞

  • CVE-2021-36936:Windows Spooler 远程代码执行漏洞

其中,CVE-2021-36948 是唯一一个已遭在野利用的提权0day 漏洞,不过除此以外微软并未公开更多详情。该漏洞的CVSS基础分为7.8分,被微软评级为“重要“级别。微软将其评为本地提权漏洞,意味着它是更大的软件利用链的一部分。

CVE-2021-36948 于Windows Update Medic Service中。该服务用于修复 Windows Update 组件免受损害,使Windows 机器能继续接收软件更新,首先现身于 Windows 10 中,使操作系统自愈机制的一个重要组成部分。

安全专家 Allan Liska 认为CVE-2021-36948和在2020年11月公开的CVE-2020-17070 之间存在相似之处。他指出,“显然,因为已遭在野利用,因此它很严重,但我们在2020年11月看到几乎一模一样的漏洞,但之前的漏洞并未发现遭利用的迹象。所以,我在想它是否会成为威胁行动者的新关注点。”

CVE-2021-36942 和 PetiPotam NTLM 中继攻击向量有关,可导致域名控制器遭劫持。微软发布该补丁,通过拦截 LSARPC 接口来防御 NTLM 中继攻击。

CVE-2021-36936 被列为“公开已知”,但尚不清楚该漏洞是 PrintNightmare 漏洞的变体还是全新漏洞。攻击者可利用该漏洞在受影响系统上执行代码。微软称利用该漏洞仅需低权限,因此它应该是非蠕虫漏洞,但用户仍应该优先测试并部署该严重漏洞。


几个值得关注的严重漏洞


本次微软共修复7个“严重”级别漏洞,它们是:

  • CVE-2021-34530:Windows 图形组件远程代码执行漏洞

  • CVE-2021-34480:脚本引擎内存损坏漏洞

  • CVE-2021-34535:远程桌面客户端远程代码执行漏洞

  • CVE-2021-34534:Windows MSHTML Platform 远程代码执行漏洞

  • CVE-2021-36936:Windows Print Spooler 远程代码执行漏洞

  • CVE-2021-26432:Windows Services for NFS ONCRPC XDR 驱动远程代码执行漏洞

  • CVE-2021-26424:Windows TCP/IP 远程代码执行漏洞

Liska 和趋势科技ZDI认为值得关注由奇安信代码安全实验室发现的两个漏洞 CVE-2021-26424和CVE-2021-26432。奇安信代码安全实验室本次还帮助微软发现了其它四个漏洞(CVE-2021-36932、CVE-2021-36933、CVE-2021-26433和CVE-2021-36926)。

ZDI 认为CVE-2021-26424 的CVSS 评分为9.9分。位于 guest Hyper-V OS 上的攻击者可通过发送特殊构造的 IPv6 ping 在主机 Hyper-V 服务器上执行代码,因此部署于蠕虫漏洞。然而,攻击如成功,可导致 guest OS 完全接管 Hyper-V 主机。虽然并非蠕虫漏洞,但“看到已存在多年的协议中在新场景中发现新漏洞,仍然很酷“。

Liska 表示,“CVE-2021-26424值得持续关注,因为它是一个 TCP/IP 远程代码执行漏洞,影响 Windows 7 至 Windows 10 以及 Windows Server 2008至2019。”

他分析指出,“虽然该漏洞并未被公开或遭在野利用,但微软将它标记为‘更可能遭利用’,意味着利用难度相对较低。TCP/IP 栈中的漏洞非常狡猾,今年早些时候很多人对类似漏洞CVE-2021-24074关注很高,但尚未遭利用。但另一方面,去年也出现的一个类似漏洞CVE-2020-16898已遭在野利用。”

CVE-2020-16898 和微软上上个月发布的一份关于如何保护 Windows 域名控制器和其它 Windows 服务器免受 NTLM 中继攻击 (PetitPotam) 有关。PetitPotam 漏洞是由法国研究员 Gilles Lionel 发现的,可“胁迫 Windows 主机通过 MS-EFSRPC EfsRpcOpenFileRaw 函数认证到其它机器”,不过尚未出现它遭利用的迹象。

趋势科技ZDI 注意到,Adobe 也发布了两个补丁,修复了位于 Adobe Connect 和 Magento 中的29个CVE。ZDI 表示为本次微软补丁星期二提交了8个漏洞,并解释称是微软在2019年12月以来发布补丁数量最少的一次。ZDI 认为之所以出现这种情况是因为微软已在7月投入大量精力响应 PrintNightmare 和 PetiPotam 等事件。

ZDI指出,“从剩下的严重更新来看,多数具有浏览即拥有的多样性,这意味着攻击者需要说服用户浏览受影响系统上特殊构造的网站。”但由奇安信代码安全实验室发现的CVE-2021-26432是一个例外,它是位于Windows Service for NFS ONCRPC XDR Driver 中的远程代码执行漏洞。虽然微软并未提供关于该CVSS 高达9.8分的漏洞的利用方式,但确实提到无需权限或用户交互即可利用该漏洞。

ZDI 提到,CVE-2021-26432 或属于“蠕虫”类别漏洞,至少在安装了NFS的服务器之间是可蠕虫的,尤其是因为 ONCRPC 由构建与 WSK 界面的XDR 运行时组成。ZDI 认为要重视该补丁。


进一步修复 PrintNightmare


另外,微软还对 Windows 和问题重重的 Point 和 Printer 驱动的交互做出重大默认变更,要求管理员权限才能变更默认的 Point 和 Print 驱动安装和更新行为。

此举是对已遭公开利用的 PrintNightmare 系列漏洞的更全面的修复方案。这些漏洞可导致用户易受远程代码执行和提权攻击。

所有部署8月安全更新的Windows版本将适用该重大变更。微软将该重大变更分配了CVE编号 CVE-2021-34481。而如果禁用该缓解措施,将会使“你的环境暴露到 Windows Print Spooler 服务中的公开已知漏洞风险中,因此我们建议在冒险之前评估自身的安全需求。”

微软的下一个补丁星期二将于北京时间9月15日发布。






推荐阅读
微软公开PrintNightmare系列第3枚无补丁0day,谷歌修复第8枚已遭利用0day
微软7月修复117个漏洞,其中9个为0day,2个是Pwn2Own 漏洞
微软发现已遭在野利用的 SolarWinds 新0day





原文链接

https://www.zdnet.com/article/microsofts-august-2021-patch-tuesday-45-flaws-fixed-seven-critical-including-print-spooler-vulnerability/

https://www.securityweek.com/microsoft-patch-tuesday-windows-flaw-under-active-attack

https://www.securityweek.com/microsoft-takes-another-stab-printnightmare-security-fix

https://www.bleepingcomputer.com/news/microsoft/microsoft-august-2021-patch-tuesday-fixes-3-zero-days-44-flaws/

https://www.zerodayinitiative.com/blog/2021/8/10/the-august-2021-security-update-review


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~




知识来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247506912&idx=1&sn=8ed70142abe1955e4585a3e72642f08d

阅读:37972 | 评论:0 | 标签:0day 漏洞 微软

想收藏或者和大家分享这篇好文章→复制链接地址

“微软8月补丁星期二值得关注的几个0day、几个严重漏洞及其它”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持·广告位💖

标签云