微軟于本周二發布了10月的“周二補丁”更新，修復了包括Windows系統和其它軟件中的71個漏洞，其中包括4個零日漏洞。

[[428996]]

這些零日漏洞中，除CVE-2021-40449外，另外3個在補丁發布之前就已為公眾所知。這4個零日漏洞分別是：

• CVE-2021-40449(CVSS 評分：7.8)- Win32k 提權漏洞
• CVE-2021-41335(CVSS 評分：7.8)——Windows 內核特權提升漏洞
• CVE-2021-40469(CVSS 評分：7.2)——Windows DNS 服務器遠程代碼執行漏洞
• CVE-2021-41338(CVSS 評分：5.5)——Windows AppContainer 防火墻規則安全功能繞過漏洞。

排在首位的CVE-2021-40449，由卡巴斯基在2021年8月下旬至9月初發現，被廣泛用于針對IT公司、國防承包商和外交部門的間諜活動。卡巴斯基將這類威脅稱為“神秘蝸牛”(MysterySnail)，其公司研究人員Boris Larin和Costin Raiu在一篇技術文章中表示，攻擊者利用該漏洞部署遠程訪問木馬，該木馬能夠從受感染主機收集和泄露系統信息，然后再聯系其C2服務器以獲取進一步指令。

其他值得注意的漏洞包括影響Microsoft Exchange Server(CVE-2021-26427)、Windows Hyper-V(CVE-2021-38672和CVE-2021-40461)、SharePoint服務器(CVE-2021-40487和CVE-2021-41344)和Microsoft Word(CVE-2021-40486)的遠程代碼執行漏洞，以及富文本編輯控制(CVE-2021-40454)的信息泄露漏洞。

CVE-2021-26427的CVSS評分高達9.0，網絡安全公司Qualys的漏洞和威脅研究高級經理Bharat Jogi強調：Exchange服務器是黑客入侵商業網絡的高價值目標。

另外，此次更新修復了Print Spooler 組件中發現的兩個缺陷(CVE-2021-41332和CVE-2021-36970)，每個缺陷都涉及信息泄露漏洞和欺騙漏洞，這些漏洞已被標記為“更具有可利用性”。安全研究員ollypwn在Twitter上發帖指出：欺騙性漏洞攻擊者可以冒充或識別為另一個用戶，并通過濫用Spooler服務將任意文件上傳至其它服務器。

對于用戶而言，首先應該修復哪些漏洞?英國網絡安全技能平臺Immersive Labs的網絡威脅研究主管Kevin Breen認為：“我們總是建議首先修補任何被積極利用的漏洞。權限提升漏洞的得分總是低于遠程代碼執行，但攻擊者一旦獲得初始訪問權限就會更常使用，所以不要讓原始CVSS得分高低成為漏洞修補的順序考量。”

參考來源：

• https://thehackernews.com/2021/10/update-your-windows-pcs-immediately-to.html
• https://www.helpnetsecurity.com/2021/10/12/patch-tuesday-cve-2021-40449/