周二微软发布9月份Patch Tuesday安全更新,修补66项漏洞,包含已经出现开采程序的Windows MSHTML浏览器引擎漏洞,以及1个尚未公开但风险值9.8的Azure管理组件漏洞。
本次修补的漏洞最受瞩目的是编号CVE-2021-40444的漏洞,它位于Windows内微软浏览器引擎MSHTML,但影响也使用MHTML引擎的Office用户。攻击者发送的恶意Office文件一经用户打开,即打开攻击者控制的恶意网页,并激活ActiveX控制下载恶意Cpl档。开采行动可引发远程程序代码执行,最严重导致攻击者接管Windows机器。
这项漏洞影响Windows 7到Windows 10,以及Server 2008以后版本。安全研究人员已在Office 365及Office 2016上复制出攻击。
微软上周提供以关闭IE中ActiveX来缓解攻击,也说明Office环境下可以“安全查看”模式维护用户安全,但是研究人员说明CVE-2021-40444威胁比想象中来得大,因为压缩文件(.arj、.gzip)或磁盘镜像文件(.iso、.vhd)都可以绕过“安全查看”,使这漏洞比恶意宏的安全威胁更大。
网络上周已经开始流传可开采CVE-2021-40444的恶意文件。研究人员发现,Docx、.RTF、Excel到PowerPoint等不一而足。安全专家包括CERT/CC研究员Will Dormann已测试出在激活ActiveX缓解措施的PC上,依然能打开Office文件执行恶意程序的方法。
本次还有另一个漏洞CVE-2021-36968已遭公开,不过所幸尚无开采活动。它是位于Windows DNS中,风险值7.8的权限升级(EoP)漏洞。
其他漏洞方面,较值得注意的有几个:一是CVE-2021-38647,位于Azure Open Management Infrastructure (OMI)管理组件,攻击者不需验证即可以根(root)权限在Azure VM执行程序代码,风险值9.8,属重大漏洞。Azure OMI同时还被修补了3个高风险的EoP漏洞(CVE-2021-38645、CVE-2021-38648、及CVE-2021-38649)。
另一重大漏洞CVE-2021-36965是Windows WLAN AutoConfig Service漏洞,可导致用户在公开Wi-Fi网络环境下,遭远程程序代码执行(RCE)攻击,风险值8.8。
其他风险值7.0到7.9之间的漏洞中,微软修补了打印多任务缓冲服务Print Pooler 3个漏洞,包括CVE-2021-38667、CVE-2021-38671和CVE-2021-40447。研究人员呼吁应优先部署修补程序,因为攻击者可在开采黑入网络后持续活动。
此外,Windows Common Log File System(CLFS)驱动程序内置3个权限升级漏洞(CVE-2021-36955、CVE-2021-36963及CVE-2021-38633)。研究人员相信,这驱动程序在所有Windows版本都支持,虽然尚没有攻击活动,但开采容易,不可掉以轻心。