2個零時差漏洞分別攻擊Exchange與Excel 快安裝修補更新

本周二微軟發佈11月安全更新,共修補55個漏洞,包括2個已經遭到開採的2個零時差漏洞。

本周二微軟發佈11月安全更新,共修補55個漏洞,包括2個已經遭到開採的2個零時差漏洞。一是Microsoft Exchange Server遠端程式碼執行(RCE)漏洞CVE-2021-42321,另一為Excel的安全功能繞過漏洞CVE-2021-42292。

最新的ProxyLogon漏洞

CVE-2021-42321源於command-let (cmdlet)引數驗證不足,讓攻擊者得以執行惡意程式碼。這是Exchange Server繼今年中國駭客組織Hafnium開採的ProxyLogon後最新一個被開採的漏洞。所幸攻擊者必須是經驗證的使用者,讓本漏洞風險得以降低。微軟也偵測到網路上已有針對該漏洞的少數精準攻擊。

本漏洞影響本地部署的Exchange Server 2016與2019,以及Exchange Hybrid模式的環境。Exchange Online則因微軟已修補漏洞而無不受影響。

後驗證(post-authentication)攻擊相當危險,因為它具有合法憑證但憑證外洩或被竊取用戶將會受到影響。某些情況下,連啟用雙因素驗證(2FA)也無法阻擋後驗證攻擊,因為攻擊者在通過第二道驗證後惡意活動才開始。微軟因而呼籲用戶儘速升級到最新Exchange Server軟體。

Excel的安全保護機制不見了?

另一個存在Excel的安全機制繞過零時差漏洞CVE-2021-42292是由微軟安全威脅情報中心發現。該漏洞是出在,在Excel載入程式碼前一般會跳提示問你是否要載入,用戶同意後才能執行。但因為這項漏洞,導致Excel提示消失了,等於使用者繞過安全保護而執行惡意程式碼。攻擊者可傳送惡意變造的檔案時引發程式碼執行。

微軟雖已釋出修補程式,但是僅補好Windows版Excel,讓Office for Mac用戶仍然持續曝險。

微軟修補的漏洞還包括:

  1. CVE-2021-38666,為RDP (Remote Desktop Client)的RCE 漏洞,用戶被導向惡意RCP伺服器時會觸發本漏洞。
  2. CVE 2021-42298為Microsoft Defender 的RCE漏洞。連網系統接獲惡意程式定義檔更新,或是Microsoft Malware Protection Engine更新時,該RCE漏洞會自動關閉起來以降低被偵測到的機會。
  3. CVE-2021-26443為微軟Virtual  Machine Bus (VMBu)的RCE漏洞,可使程式碼突破Guest OS、進入主機的Host OS。利用這項漏洞,Guest VM中的攻擊者可以傳送惡意訊息給Host OS,進而在Host OS(即Windows )上執行任意程式碼。

來源: Help Net Security

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416