微軟再修補108漏洞  包含4個Exchange Server重大漏洞

微軟本周二再釋出四月份的Patch Tuesday,修補1項已被攻擊的零時差漏洞,以及4項重大Microsoft Exchange Server漏洞。

微軟本周二再釋出四月份的Patch Tuesday,修補1項已被攻擊的零時差漏洞,以及4項重大Microsoft Exchange Server漏洞。

今天的更新共修補了108項漏洞,包括19項重大及89項重要漏洞。這些數字不包括本月稍早修補的6項Edge漏洞。

這19項重大漏洞包含5個被公開的零時差漏洞,其中一個已被用於攻擊。而今天揭露的4項Exchange Server漏洞,則是由NSA發現並通報。

再修補四項Exchange漏洞

被公開的5項漏洞其中4項分別是RPC Endpoint 的權限升級漏洞(CVE-2021-27091)、Windows NTFS DoS漏洞(CVE-2021-28312)、Windows Installer資訊外洩漏洞(CVE-2021-28437)、以及Azure ms-rest-nodeauth Library的權限升級漏洞(CVE-2021-28458)。

遭到攻擊的是Win32k元件的CVE-2021-28310,它是一個權限升級漏洞,可結合其他瀏覽器漏洞完成沙箱逃逸或取得系統權限。卡巴斯基相信攻擊者是BITTER APT組織。但卡巴斯基還無法確定駭客是否已經運用了另一個瀏覽器零時差或已知漏洞。

今天修補的Exchange漏洞將讓Exchange Server管理員繼續疲於奔命。這4項漏洞都是由美國國安局(NSA)發現。4個漏洞皆為遠端程式碼執行(RCE)漏洞,包括CVE-2021-28480 、CVE-2021-28481、CVE-2021-28482、CVE-2021-28483,其中CVE-2021-28480 、CVE-2021-28481為前驗證漏洞,意謂著攻擊者無需登入Exchange Server即可發動攻擊,CVSS 3.0風險層級高達9.8。

受影響的版本包括Exchange Server 2013 CU23、2016 CU19 及CU20、Exchange Server 2019 CU8 及CU9。CVE-2021-28482及 CVE-2021-28483則分別為 8.8和9.0。不過微軟表示,目前並未發現4個漏洞遭到開採。

本月稍早修補的6項Edge漏洞則是承襲Chromium,包括,CVE-2021-21199(使用已釋放記憶體)、CVE-2021-21194(使用已釋放記憶體)、 CVE-2021-21197(緩衝溢位)、CVE-2021-21198(頻外讀取)、CVE-2021-21195(使用已釋放記憶體)及CVE-2021-21196(緩衝溢位)。其中CVE-2021-21195是上周在Pwn2Own駭客競賽中揭露,位於JavaScript V8引擎的RCE漏洞,本周一名研究人員公開概念驗證開採程式。

來源:BleepingCompuerThreatPost

 

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416