微軟本月安全更新 修補Windows MSHTML零時差漏洞
微軟昨日發佈九月份Patch Tuesday安全更新,修補66項漏洞,其中包含上周公告,已有駭客活動近2周的Windows零時差漏洞CVE-2021-40444。此外也修補了Azure名為OMIGOD的重大漏洞。
CVE-2021-40444位於Windows MSHTML/Trident瀏覽器引擎中,除了Windows 7到Window 10,以及Server 2012到2016版本外,也影響Office 365及Office 2016用戶。
微軟上周警告,這項漏洞可讓攻擊者製作惡意Active X控制,由控制MHTML引擎的Microsoft Office應用程式啟動而開採。攻擊者只要誘使受害者開啟Office文件就能發動攻擊。
前微軟安全研究員,現任英國服裝業Arcadia Group安全監控中心主任Kevin Beaumont相信,這個漏洞已經被開採近2個星期,而上周,網路上也開始流傳開採該漏洞的教學文件及概念驗證套件(PoC),包含惡意文件及CAB檔案的Python伺服器。
微軟上周發出緩解指示,指關閉IE中的Active X即可降低風險,但Beaumont指出,關閉Active X並非萬無一失,因為只要稍稍修改攻擊程式,就可以不需使用Active X,而繞過微軟的緩解措施。
OMIGOD漏洞
本月的安全更新還修補了一個風險值9.8的CVE-2021-38647,它是位於Open Management Infrastructure (OMI)的遠端程式碼執行(RCE)漏洞。
OMI是一DMTF CIM/WBEM(common information model/web-based enterprise management)標準的實作,是用於IT管理的開原碼專案,支援Unix及Linux平台。OMI是一個代理程式,也用於多個Azure服務,包括Azure OMS(Operation Management Suite, OMS)、Azure Insights、Azure Automations及 Azure Log Analytics等。
研究人員指出,這項漏洞讓遠端攻擊者只要稍稍改造封包傳送到受影響的系統即可開採,並以根(root)權限執行程式碼,過程中不需使用者動作。該漏洞風險值高達9.8,屬重大風險漏洞。
OMI另外還有3個權限升級漏洞,包括CVE-2021-38648 (7.8)、CVE-2021-38645 (7.8)、CVE-2021-38649 (7.0)。安全廠商Wiz 研究員 Nir Ohfeld及 Shir Tamari將CVE-2021-38647和這3個高風險漏洞合稱OMIGOD。
OMIGOD漏洞直接影響Azure 上跑Linux的用戶,因為當用戶啟用Azure OMS、Azure Insights、Azure Automations及 Azure Log Analytics、Azure Configuration Management、Azure Diagnostics服務時,他們的VM都會被悄悄安裝OMI。其他受影響的產品還包括Linux版本管理工具 System Center,因為也內建了OMI代理程式。
微軟本月修補漏洞還有Windows WLAN AutoConfig Service RCE漏洞CVE-2021-36965(風險值8.8),以及4個高風險漏洞,包括3個Windows Print Spooler權限升級(EoP)漏洞 (CVE-2021-38667, CVE-2021-38671及 CVE-2021-40447),和已公開但尚無開採活動的Windows DNS EoP漏洞CVE-2021-36968。