微軟在 9 月的 Patch Tuesday 中發布了 66 個 CVE 的修補，其中 3 個 CVE 被列為關鍵，62個為重要，1 個為中等，而當中 1 個零日漏洞 Windows MSHTML 已經受到接近 2 週的攻擊。這些漏洞存在於 Microsoft Windows 和 Windows 組件、Microsoft Edge（Chromium、iOS 和 Android）、Azure、Office 和 Office 組件、SharePoint Server、Microsoft Windows DNS 和適用於 Linux 的 Windows 子系統中。這是微軟在 2021 年第 7 個月修補不到 100 個 CVE 漏洞，與 2020 年形成鮮明對比，但雖然漏洞的總數較少，嚴重性評級卻有所上升。

 

CVE-2021-40444
研究人員在本月修補中將 CVE-2021-40444 列為最需要被修復的漏洞，這是微軟 MSHTML (Trident) 引擎中的一個重要漏洞，在 CVSS 等級評分達到 8.8 的高分。這個漏洞不僅嚴重，而且易於利用，許多攻擊者也在不斷分享該如何利用，因此漏洞已被主動攻擊了 2 週。微軟上週表示，此漏洞可能讓攻擊者製作惡意 ActiveX 控件，這個控件一般為託管瀏覽器渲染引擎的 Microsoft Office 文檔使用，然後攻擊者會說服用戶打開惡意文檔。此外，惡意宏攻擊也繼續盛行， 7 月，Microsoft Excel 的舊用戶成為目標，此攻擊使用新型惡意軟體混淆技術來禁用惡意宏警告並傳送 ZLoader 木馬。攻擊者需要說服用戶打開包含漏洞利用代碼的特製 Microsoft Office 文檔。Tenable 的研究工程師 Satnam Narang 指出，此漏洞將被納入惡意軟體有效載荷並用於分發勒索軟體，因此應將其列為優先修補。 9 月 9 日，有一些人開始分享 Windows MSHTML 零時差漏洞的利用方法和 PoC。 BleepingComputer 嘗試了一下，發現這些教學易於遵循並允許任何人創建他們自己的漏洞利用版本，包括用於分發惡意文檔和 CAB 文件的 Python 服務器。

這個漏洞嚴重到足以讓 CISA 發送自己的公告，提醒用戶和管理員並建議他們使用微軟推薦的緩解措施，緩解措施為試圖通過阻止 ActiveX 控件和 Word/RTF 來防止漏洞利用 Windows 資源管理器中的文檔預覽。不幸的是，這些緩解措施被證明並非完全有效，因為包括 Beaumont 在內的研究人員設法修改了該漏洞，使其不使用 ActiveX，從而有效地繞過了 Microsoft 的緩解措施。目前最有效的防禦仍然是，啟動修補程式來避免不希望收到的 Office 文檔。此漏洞由 MSTIC 的 Rick Cole； Bryce Abdo、Dhanesh Kizhakkinan 、 Genwei Jiang 和 EXPMON 的李海飛發現。

 

CVE-2021-38647
CVE-2021-38647 是這些漏洞當中嚴重性評級最高的，CVSS 得分為 9.8，是開放管理基礎設施中的一個關鍵遠程代碼執行 (RCE) 漏洞。OMI 是一個開源項目，旨在進一步開發 DMTF CIM/WBEM 標準的生產質量實現。此漏洞不需要用戶交互或特權，因此攻擊者只需向受影響的系統發送特製的消息即可在受影響的系統上運行他們的代碼，這使其成為高風險及需優先修補的漏洞。

 

PrintNightmare 修補程式
微軟還修補了 Windows Print Spooler 中的三個提權漏洞（CVE-2021-38667、CVE-2021-38671 和 CVE-2021-40447），這些漏洞都被評為重要。這是繼 6 月份 PrintNightmare 披露之後，針對 Windows Print Spooler 漏洞的穩定修補程式中的三個最新修復程序。

 

更多有可能被利用的漏洞
Immersive 的 Breen 告訴 Threatpost，Windows 通用日誌文件系統驅動程序中的三個本地提權漏洞 CVE-2021-36955、CVE-2021-36963、CVE-2021-38633 也值得注意，它們都被列為有機會被利用的漏洞。

本地 priv-esc 漏洞是所有成功網絡攻擊的關鍵組成部分，特別是對於勒索軟體運營商來說，可以濫用這種漏洞以獲得最高級別的訪問權限，使他們能夠禁用防病毒軟件、刪除備份並確保他們的加密器可以訪問最敏感的文件。一個明顯的例子出現在 5 月份，當時發現數億 Dell 用戶面臨內核權限錯誤的風險。這些漏洞潛伏了 12 年未公開，可能允許攻擊者繞過安全產品、執行代碼並轉移到網絡的其他部分進行橫向移動。

 

Chrome 的修補也很重要
Breen 通過電子郵件告訴 Threatpost，安全團隊還應該注意 Chrome 中修補並移植到微軟基於 Chromium 的 Edge 的 25 個漏洞。不能低估給瀏覽器進行修補並使其保持最新狀態的重要性，瀏覽器上有許多我們與各種人之間交流的有價值信息。無論是網上銀行業務或是組織的網絡應用程序和存儲的數據，它們都可能被有機會被利用的漏洞暴露。

 

參考資料：
https://threatpost.com/microsoft-patch-tuesday-exploited-windows-zero-day/169459/