在9月的Patch Tuesday發布的一系列安全補丁中，微軟發布了66個CVE的補丁，其中三個被列為微軟四級劃分系統中的重大(critical)等級，這三個之中一個名為Windows MSHTML的0day漏洞已經受到了近兩周的積極攻擊。

[[425758]]

另一個bug被列為公開已知但尚未被利用。Immersive Labs的網絡威脅研究主管Kevin Breen觀察到，只有一個CVE在野外受到積極攻擊。

這些漏洞存在于Microsoft Windows和Windows組件、Microsoft Edge(Chromium、iOS和Android)、Azure、Office和Office組件、SharePoint Server、Microsoft Windows DNS和適用于Linux的Windows子系統中。

這次修補的66個新CVE中，三個被評為重大(Critical)，62個被評為重要(Important)，一個被評為中等(Moderate)。

在2021年的過去9個月中，這是微軟第7個次修補不到100個CVE補丁，這與2020年形成鮮明對比，當時雷德蒙德花費了8個月的時間每月發布超過100個CVE補丁。但是，正如零日計劃所指出的那樣，雖然漏洞的總數較少，但嚴重性評級卻有所上升。

一些觀察家認為，本月的補丁優先級最高的是修復cve-2020-40444：微軟MSHTML(Trident)引擎上的一個重要漏洞，在CVSS等級上的評分為8.8(滿分10分)。

在9月7日披露的消息中，研究人員開發了許多概念驗證(PoC)漏洞，表明利用它是多么簡單，而且攻擊者一直在分享有關利用的指南。

受到積極攻擊：CVE-2021-40444

自從這個嚴重的、易于利用的漏洞受到主動攻擊以來，已經將近兩周了，距攻擊者分享執行漏洞利用的藍圖也已經將近一周了。

微軟上周表示，該漏洞可能讓攻擊者“制作一個惡意ActiveX控件，供托管瀏覽器渲染引擎的Microsoft Office文檔使用”，然后“攻擊者必須說服用戶打開惡意文檔。”不幸的是，惡意宏攻擊繼續盛行：例如，在7月，Microsoft Excel的老用戶成為惡意軟件活動的目標，該活動使用新型惡意軟件混淆技術禁用惡意宏警告并傳播ZLoader木馬。

攻擊者需要說服用戶打開包含漏洞利用代碼的特制Microsoft Office文檔。

Tenable的研究工程師Satnam Narang通過電子郵件指出，有警告稱此漏洞將被納入惡意軟件有效payload并用于傳播勒索軟件：有充分的理由將該補丁放在優先列表頂部。

Narang告訴Threatpost：“目前還沒有跡象表明這種情況已經發生，但隨著補丁的發布，組織應該優先考慮盡快更新他們的系統。”

上周三，也就是9月8日，英國時尚零售商Arcadia Group安全運營中心負責人、微軟前任高級威脅情報分析師Kevin Beaumont指出，該漏洞已經存在了大約一周或更長時間。

更糟的是，上周四，也就是9月9日，威脅行為者開始分享Windows MSHTML 0day漏洞利用方法和PoCs。BleepingComputer嘗試了一下，發現這些指南“簡單易懂并允許任何人創建他們自己的漏洞利用版本”，“包括用于分發惡意文檔和CAB文件的Python服務器。”

該出版物花了15分鐘的時間來重新創建漏洞利用。

一周前，也就是9月7日，星期二，微軟和網絡安全和基礎設施安全局(CISA)敦促緩解遠程代碼執行(RCE)漏洞，該漏洞存在于所有現代Windows操作系統中。

上周，該公司沒有過多提及MSHTML(又名Trident)中的漏洞，它是自20多年前Internet Explorer首次亮相以來內置于Windows中的HTML引擎，它允許Windows讀取和顯示HTML文件。

然而，微軟確實表示，它知道有針對性的攻擊試圖通過特制的Microsoft Office文檔來利用它。

盡管當時還沒有針對該漏洞的安全更新可用，但MIcrosoft還是繼續披露了它，并發布了旨在幫助防止漏洞利用的緩解措施。

不能緩解的緩解措施

該漏洞被跟蹤為CVE-2021-40444，其嚴重程度足以使CISA發送建議提醒用戶和管理員，并建議他們使用微軟推薦的緩解措施和解決方法——緩解措施試圖通過在Windows資源管理器中。

不幸的是，這些緩解措施被證明并非萬無一失，因為包括Beaumont在內的研究人員設法修改了漏洞利用，使其不使用ActiveX，從而有效地繞過了Microsoft的緩解措施。

The Zero Day Initiative表示，目前最有效的防御是“應用補丁并避免您不希望收到的Office文檔。”

請務必仔細檢查并安裝您的設置所需的所有補丁：針對特定平臺有很長的更新列表，別讓你的保護層過于單薄。

此bug的發現歸功于MSTIC的Rick Cole;Mandiant的Bryce Abdo、Dhanesh Kizhakkinan和Genwei Jiang和來自EXPMON的Haifei Li。

最嚴重Bug

CVE-2021-38647：開放管理基礎設施中的一個高危的遠程代碼執行(RCE)漏洞，最嚴重的bug——或者至少是嚴重性評級最高的bug，CVSS得分為9.8。

OMI：一個開源項目，旨在進一步開發DMTF CIM/WBEM標準的生產質量實現。

Zero Day Initiave解釋說：“此漏洞不需要用戶交互或權限，因此攻擊者只需向受攻擊的系統發送特制的消息即可在受攻擊的系統上運行他們的代碼。”這使其具有高優先級：ZDI建議OMI用戶快速測試和部署它。

還有更多PrintNightmare補丁

微軟還修補了Windows Print Spooler中的三個提權漏洞(CVE-2021-38667、CVE-2021-38671和CVE-2021-40447)，都被評為重要(important)。

這是繼6月份PrintMonthmary被披露后，針對Windows打印后臺處理程序缺陷的一系列補丁中的三個最新補丁。這可能不會是游行中的最后一個補丁：Tenable的Narang告訴Threatpost，“研究人員繼續尋找利用Print Spooler的方法”，并且該公司希望“繼續在該領域進行研究”。

在今天的三個修補程序中，只有一個CVE-2021-38671被評為“更有可能被利用”。無論如何，組織應該優先修補這些缺陷，因為“它們對于后漏洞利用階段的攻擊者來說非常有價值。”

更多“更有可能被利用”

Immersive的Breen告訴Threatpost，Windows通用日志文件系統驅動程序中的三個本地提權漏洞(CVE-2021-36955、CVE-2021-36963、CVE-2021-38633)也值得注意，它們都被列為“更有可能被利用。”

布林通過電子郵件說：“本地priv-esc漏洞是幾乎所有成功網絡攻擊的關鍵組成部分，特別是對于勒索軟件運營商等濫用此類漏洞以獲得最高訪問級別的人來說。”“這使他們能夠禁用防病毒軟件、刪除備份，并確保他們的加密程序可以訪問最敏感的文件。”

一個明顯的例子出現在5月份，當時發現數億戴爾用戶面臨內核權限漏洞的風險。這些漏洞潛伏了12年未公開，可能允許攻擊者繞過安全產品、執行代碼并轉移到網絡的其他部分進行橫向移動。

微軟周二修補的三個漏洞并非遙不可及，這意味著攻擊者需要通過其他方式實現代碼執行。其中一種方式是通過CVE-2021-40444。

另外兩個漏洞——CVE-2021-38639和CVE-2021-36975，都是Win32k權限提升漏洞——也被列為“更有可能被利用”漏洞，并且涵蓋了所有受支持的Windows版本。

Breen說，特權升級漏洞的嚴重性風險沒有RCE漏洞那么高，但“這些本地漏洞可能是有經驗的攻擊者在后漏洞利用階段的關鍵。”“如果你能在這里阻止他們，你就有可能大大限制他們的損害。”

他補充說，“如果我們假設一個確定的攻擊者能夠通過社會工程或其他技術感染受害者的設備，我認為修補priv-esc漏洞甚至比修補其他一些遠程代碼執行漏洞更重要。”

RCE也很重要

Danny Kim是Virsec的首席架構師，他在畢業于微軟的操作系統安全開發團隊期間曾在微軟工作過，他希望安全團隊關注CVE-2021-36965——一個重要的Windows WLAN自動配置服務RCE漏洞——鑒于其嚴重程度的組合(CVSS：3.0基礎評分為8.8)、無需權限提升/用戶交互即可利用以及受影響的Windows版本范圍。

WLAN 自動配置服務是 Windows 10 用來分別選擇計算機將連接到的無線網絡和 Windows 腳本引擎的機制的一部分。

該補丁修復了一個缺陷，該缺陷可能允許鄰近網絡的攻擊者在系統級別在受影響的系統上運行他們的代碼。

正如Zero Day Initiative所解釋的那樣，這意味著攻擊者可以“完全接管目標——只要他們在相鄰的網絡上。”這在coffee-shop攻擊中會派上用場，因為在那里多人使用不安全的Wi-Fi網絡。

這“特別令人震驚”，Kim說：“想想SolarWinds和PrintNightmare。”

他在一封電子郵件中說：“最近的趨勢表明，基于遠程代碼執行的攻擊是對企業造成最大負面影響的最關鍵的漏洞，正如我們在Solarwinds和PrintNightmare攻擊中看到的那樣。”

Kim表示，盡管漏洞利用代碼的成熟度目前尚未得到證實，但該漏洞已被確認存在，為攻擊者留下了漏洞。

“這取決于位于同一網絡中的攻擊者，因此看到此漏洞與另一個CVE/攻擊結合使用以實現攻擊者的最終目標也就不足為奇了。”“遠程代碼執行攻擊可能導致未經驗證的進程在服務器工作payload上運行，這只會凸顯對持續、確定性運行時監控的需求。如果沒有這種保護，RCE攻擊可能會導致企業數據的機密性和完整性完全喪失。”

The Zero Day Initiative也發現了這個令人擔憂的問題。即使它需要接近目標，它也不需要特權或用戶交互，所以“不要讓這個bug的相鄰方面降低嚴重性。”“一定要快速測試和部署這個補丁。”

不要忘記修補Chrome

Breen通過電子郵件告訴Threatpost，安全團隊還應注意Chrome中修補并移植到微軟基于Chrome的Edge的25個漏洞。

他說，畢竟瀏覽器是了解隱私、敏感信息和任何對犯罪分子有價值事物的窗口。

他強調說：“我不能低估給瀏覽器打補丁并使其保持最新狀態的重要性。”“畢竟，瀏覽器是我們與包含各種高度敏感、有價值和私人信息的互聯網和基于web服務進行交互的方式。無論您是在考慮您的網上銀行業務還是您組織的網絡應用程序收集和存儲的數據，它們都可能被利用瀏覽器的攻擊所暴露。”

本文翻譯自：https://threatpost.com/microsoft-patch-tuesday-exploited-windows-zero-day/169459/