微軟再修補 108 漏洞 包含 4 個 Exchange Server 重大漏洞
微軟本周二再釋出四月份的 Patch Tuesday,修補 1 項已被攻擊的零時差漏洞,以及 4 項重大 Microsoft Exchange Server 漏洞。
今天的更新共修補了 108 項漏洞,包括 19 項重大及 89 項重要漏洞。這些數字不包括本月稍早修補的 6 項 Edge 漏洞。
這 19 項重大漏洞包含 5 個被公開的零時差漏洞,其中一個已被用於攻擊。而今天揭露的 4 項 Exchange Server 漏洞,則是由 NSA 發現並通報。
再修補四項 Exchange 漏洞
被公開的 5 項漏洞其中 4 項分別是 RPC Endpoint 的權限升級漏洞 (CVE-2021-27091)、Windows NTFS DoS 漏洞 (CVE-2021-28312)、Windows Installer 資訊外洩漏洞 (CVE-2021-28437)、以及 Azure ms-rest-nodeauth Library 的權限升級漏洞 (CVE-2021-28458)。
遭到攻擊的是 Win32k 元件的 CVE-2021-28310,它是一個權限升級漏洞,可結合其他瀏覽器漏洞完成沙箱逃逸或取得系統權限。卡巴斯基相信攻擊者是 BITTER APT 組織。但卡巴斯基還無法確定駭客是否已經運用了另一個瀏覽器零時差或已知漏洞。
今天修補的 Exchange 漏洞將讓 Exchange Server 管理員繼續疲於奔命。這 4 項漏洞都是由美國國安局 (NSA) 發現。4 個漏洞皆為遠端程式碼執行 (RCE) 漏洞,包括 CVE-2021-28480 、CVE-2021-28481、CVE-2021-28482、CVE-2021-28483,其中 CVE-2021-28480 、CVE-2021-28481 為前驗證漏洞,意謂著攻擊者無需登入 Exchange Server 即可發動攻擊,CVSS 3.0 風險層級高達 9.8。
受影響的版本包括 Exchange Server 2013 CU23、2016 CU19 及 CU20、Exchange Server 2019 CU8 及 CU9。CVE-2021-28482 及 CVE-2021-28483 則分別為 8.8 和 9.0。不過微軟表示,目前並未發現 4 個漏洞遭到開採。
本月稍早修補的 6 項 Edge 漏洞則是承襲 Chromium,包括,CVE-2021-21199(使用已釋放記憶體)、CVE-2021-21194(使用已釋放記憶體)、 CVE-2021-21197(緩衝溢位)、CVE-2021-21198(頻外讀取)、CVE-2021-21195(使用已釋放記憶體)及 CVE-2021-21196(緩衝溢位)。其中 CVE-2021-21195 是上周在 Pwn2Own 駭客競賽中揭露,位於 JavaScript V8 引擎的 RCE 漏洞,本周一名研究人員公開概念驗證開採程式。