2個零時差漏洞分別攻擊Exchange與Excel 快安裝修補更新

本周二微軟發佈11月安全更新，共修補55個漏洞，包括2個已經遭到開採的2個零時差漏洞。一是Microsoft Exchange Server遠端程式碼執行(RCE)漏洞CVE-2021-42321，另一為Excel的安全功能繞過漏洞CVE-2021-42292。

最新的ProxyLogon漏洞

CVE-2021-42321源於command-let (cmdlet)引數驗證不足，讓攻擊者得以執行惡意程式碼。這是Exchange Server繼今年中國駭客組織Hafnium開採的ProxyLogon後最新一個被開採的漏洞。所幸攻擊者必須是經驗證的使用者，讓本漏洞風險得以降低。微軟也偵測到網路上已有針對該漏洞的少數精準攻擊。

本漏洞影響本地部署的Exchange Server 2016與2019，以及Exchange Hybrid模式的環境。Exchange Online則因微軟已修補漏洞而無不受影響。

後驗證(post-authentication)攻擊相當危險，因為它具有合法憑證但憑證外洩或被竊取用戶將會受到影響。某些情況下，連啟用雙因素驗證(2FA)也無法阻擋後驗證攻擊，因為攻擊者在通過第二道驗證後惡意活動才開始。微軟因而呼籲用戶儘速升級到最新Exchange Server軟體。

Excel的安全保護機制不見了？

另一個存在Excel的安全機制繞過零時差漏洞CVE-2021-42292是由微軟安全威脅情報中心發現。該漏洞是出在，在Excel載入程式碼前一般會跳提示問你是否要載入，用戶同意後才能執行。但因為這項漏洞，導致Excel提示消失了，等於使用者繞過安全保護而執行惡意程式碼。攻擊者可傳送惡意變造的檔案時引發程式碼執行。

微軟雖已釋出修補程式，但是僅補好Windows版Excel，讓Office for Mac用戶仍然持續曝險。

微軟修補的漏洞還包括：

1. CVE-2021-38666，為RDP (Remote Desktop Client)的RCE 漏洞，用戶被導向惡意RCP伺服器時會觸發本漏洞。
2. CVE 2021-42298為Microsoft Defender 的RCE漏洞。連網系統接獲惡意程式定義檔更新，或是Microsoft Malware Protection Engine更新時，該RCE漏洞會自動關閉起來以降低被偵測到的機會。
3. CVE-2021-26443為微軟Virtual  Machine Bus (VMBu)的RCE漏洞，可使程式碼突破Guest OS、進入主機的Host OS。利用這項漏洞，Guest VM中的攻擊者可以傳送惡意訊息給Host OS，進而在Host OS（即Windows ）上執行任意程式碼。

來源： Help Net Security