微軟本月安全更新 修補 Windows MSHTML 零時差漏洞
微軟昨日發佈九月份 Patch Tuesday 安全更新,修補 66 項漏洞,其中包含上周公告,已有駭客活動近 2 周的 Windows 零時差漏洞 CVE-2021-40444。此外也修補了 Azure 名為 OMIGOD 的重大漏洞。
CVE-2021-40444 位於 Windows MSHTML/Trident 瀏覽器引擎中,除了 Windows 7 到 Window 10,以及 Server 2012 到 2016 版本外,也影響 Office 365 及 Office 2016 用戶。
微軟上周警告,這項漏洞可讓攻擊者製作惡意 Active X 控制,由控制 MHTML 引擎的 Microsoft Office 應用程式啟動而開採。攻擊者只要誘使受害者開啟 Office 文件就能發動攻擊。
前微軟安全研究員,現任英國服裝業 Arcadia Group 安全監控中心主任 Kevin Beaumont 相信,這個漏洞已經被開採近 2 個星期,而上周,網路上也開始流傳開採該漏洞的教學文件及概念驗證套件 (PoC),包含惡意文件及 CAB 檔案的 Python 伺服器。
微軟上周發出緩解指示,指關閉 IE 中的 Active X 即可降低風險,但 Beaumont 指出,關閉 Active X 並非萬無一失,因為只要稍稍修改攻擊程式,就可以不需使用 Active X,而繞過微軟的緩解措施。
OMIGOD 漏洞
本月的安全更新還修補了一個風險值 9.8 的 CVE-2021-38647,它是位於 Open Management Infrastructure (OMI) 的遠端程式碼執行 (RCE) 漏洞。
OMI 是一 DMTF CIM/WBEM(common information model/web-based enterprise management) 標準的實作,是用於 IT 管理的開原碼專案,支援 Unix 及 Linux 平台。OMI 是一個代理程式,也用於多個 Azure 服務,包括 Azure OMS(Operation Management Suite, OMS)、Azure Insights、Azure Automations 及 Azure Log Analytics 等。
研究人員指出,這項漏洞讓遠端攻擊者只要稍稍改造封包傳送到受影響的系統即可開採,並以根 (root) 權限執行程式碼,過程中不需使用者動作。該漏洞風險值高達 9.8,屬重大風險漏洞。
OMI 另外還有 3 個權限升級漏洞,包括 CVE-2021-38648 (7.8)、CVE-2021-38645 (7.8)、CVE-2021-38649 (7.0)。安全廠商 Wiz 研究員 Nir Ohfeld 及 Shir Tamari 將 CVE-2021-38647 和這 3 個高風險漏洞合稱 OMIGOD。
OMIGOD 漏洞直接影響 Azure 上跑 Linux 的用戶,因為當用戶啟用 Azure OMS、Azure Insights、Azure Automations 及 Azure Log Analytics、Azure Configuration Management、Azure Diagnostics 服務時,他們的 VM 都會被悄悄安裝 OMI。其他受影響的產品還包括 Linux 版本管理工具 System Center,因為也內建了 OMI 代理程式。
微軟本月修補漏洞還有 Windows WLAN AutoConfig Service RCE 漏洞 CVE-2021-36965(風險值 8.8),以及 4 個高風險漏洞,包括 3 個 Windows Print Spooler 權限升級 (EoP) 漏洞 (CVE-2021-38667, CVE-2021-38671 及 CVE-2021-40447),和已公開但尚無開採活動的 Windows DNS EoP 漏洞 CVE-2021-36968。