吳明宜微軟再修補108漏洞 包含4個Exchange Server重大漏洞
微軟本周二再釋出四月份的Patch Tuesday,修補1項已被攻擊的零時差漏洞,以及4項重大Microsoft Exchange Server漏洞。
今天的更新共修補了108項漏洞,包括19項重大及89項重要漏洞。這些數字不包括本月稍早修補的6項Edge漏洞。
這19項重大漏洞包含5個被公開的零時差漏洞,其中一個已被用於攻擊。而今天揭露的4項Exchange Server漏洞,則是由NSA發現並通報。
再修補四項Exchange漏洞
被公開的5項漏洞其中4項分別是RPC Endpoint 的權限升級漏洞(CVE-2021-27091)、Windows NTFS DoS漏洞(CVE-2021-28312)、Windows Installer資訊外洩漏洞(CVE-2021-28437)、以及Azure ms-rest-nodeauth Library的權限升級漏洞(CVE-2021-28458)。
遭到攻擊的是Win32k元件的CVE-2021-28310,它是一個權限升級漏洞,可結合其他瀏覽器漏洞完成沙箱逃逸或取得系統權限。卡巴斯基相信攻擊者是BITTER APT組織。但卡巴斯基還無法確定駭客是否已經運用了另一個瀏覽器零時差或已知漏洞。
今天修補的Exchange漏洞將讓Exchange Server管理員繼續疲於奔命。這4項漏洞都是由美國國安局(NSA)發現。4個漏洞皆為遠端程式碼執行(RCE)漏洞,包括CVE-2021-28480 、CVE-2021-28481、CVE-2021-28482、CVE-2021-28483,其中CVE-2021-28480 、CVE-2021-28481為前驗證漏洞,意謂著攻擊者無需登入Exchange Server即可發動攻擊,CVSS 3.0風險層級高達9.8。
受影響的版本包括Exchange Server 2013 CU23、2016 CU19 及CU20、Exchange Server 2019 CU8 及CU9。CVE-2021-28482及 CVE-2021-28483則分別為 8.8和9.0。不過微軟表示,目前並未發現4個漏洞遭到開採。
本月稍早修補的6項Edge漏洞則是承襲Chromium,包括,CVE-2021-21199(使用已釋放記憶體)、CVE-2021-21194(使用已釋放記憶體)、 CVE-2021-21197(緩衝溢位)、CVE-2021-21198(頻外讀取)、CVE-2021-21195(使用已釋放記憶體)及CVE-2021-21196(緩衝溢位)。其中CVE-2021-21195是上周在Pwn2Own駭客競賽中揭露,位於JavaScript V8引擎的RCE漏洞,本周一名研究人員公開概念驗證開採程式。