微軟修補六項零時差漏洞 均已遭駭客利用

本周的Patch Tuesday安全更新中，微軟修補了50項漏洞，包括6個已遭開採的Windows零時差漏洞，這也是微軟歷來被開採最多的一次。

這六項漏洞包括：

• CVE-2021-33742 – Windows MSHTML 平台的遠端程式碼執行(RCE)漏洞
• CVE-2021-31955 – Windows 核心資訊洩露
• CVE-2021-31956 – Windows NTFS 權限升級漏洞
• CVE-2021-31962 – Kerberos AppContainer 安全功能繞過漏洞
• CVE-2021-31199 – Microsoft增強型密碼編譯提供者(Enhanced Cryptographic Provider)權限升級漏洞
• CVE-2021-31201 – Microsoft增強型密碼編譯提供者(Enhanced Cryptographic Provider)權限升級漏洞

這些漏洞是由Google和卡巴斯基等安全廠商首先發現並通報微軟。微軟為了讓IT人員有更多時間安裝修補程式，以免被其他駭客乘虛而入，因此並未公佈這6項漏洞的技術細節。但兩家公司仍然透露了些許資訊。

最有趣的是CVE-2021-33742，這項漏洞存在於IE瀏覽器中MSHTML引擎元件中。Google威脅分析小組(TAG)主管Shane Huntley指出，他的部門發現這隻漏洞，所有跡象顯示它是由一個專業的攻擊程式中介商開發。這個漏洞似乎已經被一群國家駭客用來對東歐和中東發動數攻擊。他表示，Google會在30天之內公佈漏洞細節。

二項零時差漏洞以最新版Windows 10為目標

卡巴斯基上個月發現CVE-2021-31955 和CVE-2021-31956。研究人員相信這兩項漏洞已被用來發動一宗複雜的攻擊鏈中，Chrome可能也被當成入口之一。雖然他們尚未找到Chrome上的遠端程式碼執行漏洞，但是已經能找到和分析權限升級(EoP)漏洞，可用來逃出沙箱並取得系統權限。

二項Windows零時差漏洞皆位於Windows核心，它們值得一提的是，可以被稍稍改寫，就能攻入最新版Windows 10（包括RS5、19H1、19H2、20H1及20H2），表示攻擊者可能有意攻擊新式裝置。

二項零時差漏洞和上個月Adobe Reader零時差漏洞有關

此外，微軟修補的CVE-2021-31199及 CVE-2021-31201則和上個月Adobe修補的零時差漏洞CVE-2021-28550有關。兩項漏洞都影響微軟一個密碼函式庫，甚至連最老舊的Windows 7和Server 2012都被影響。

不過Adobe和微軟都未透露攻擊的任何資訊。

來源：The Record