2 個零時差漏洞分別攻擊 Exchange 與 Excel 快安裝修補更新

本周二微軟發佈 11 月安全更新，共修補 55 個漏洞，包括 2 個已經遭到開採的 2 個零時差漏洞。一是 Microsoft Exchange Server 遠端程式碼執行 (RCE) 漏洞 CVE-2021-42321，另一為 Excel 的安全功能繞過漏洞 CVE-2021-42292。

最新的 ProxyLogon 漏洞

CVE-2021-42321 源於 command-let (cmdlet) 引數驗證不足，讓攻擊者得以執行惡意程式碼。這是 Exchange Server 繼今年中國駭客組織 Hafnium 開採的 ProxyLogon 後最新一個被開採的漏洞。所幸攻擊者必須是經驗證的使用者，讓本漏洞風險得以降低。微軟也偵測到網路上已有針對該漏洞的少數精準攻擊。

本漏洞影響本地部署的 Exchange Server 2016 與 2019，以及 Exchange Hybrid 模式的環境。Exchange Online 則因微軟已修補漏洞而無不受影響。

後驗證 (post-authentication) 攻擊相當危險，因為它具有合法憑證但憑證外洩或被竊取用戶將會受到影響。某些情況下，連啟用雙因素驗證 (2FA) 也無法阻擋後驗證攻擊，因為攻擊者在通過第二道驗證後惡意活動才開始。微軟因而呼籲用戶儘速升級到最新 Exchange Server 軟體。

Excel 的安全保護機制不見了？

另一個存在 Excel 的安全機制繞過零時差漏洞 CVE-2021-42292 是由微軟安全威脅情報中心發現。該漏洞是出在，在 Excel 載入程式碼前一般會跳提示問你是否要載入，用戶同意後才能執行。但因為這項漏洞，導致 Excel 提示消失了，等於使用者繞過安全保護而執行惡意程式碼。攻擊者可傳送惡意變造的檔案時引發程式碼執行。

微軟雖已釋出修補程式，但是僅補好 Windows 版 Excel，讓 Office for Mac 用戶仍然持續曝險。

微軟修補的漏洞還包括：

1. CVE-2021-38666，為 RDP (Remote Desktop Client) 的 RCE 漏洞，用戶被導向惡意 RCP 伺服器時會觸發本漏洞。
2. CVE 2021-42298 為 Microsoft Defender 的 RCE 漏洞。連網系統接獲惡意程式定義檔更新，或是 Microsoft Malware Protection Engine 更新時，該 RCE 漏洞會自動關閉起來以降低被偵測到的機會。
3. CVE-2021-26443 為微軟 Virtual  Machine Bus (VMBu) 的 RCE 漏洞，可使程式碼突破 Guest OS、進入主機的 Host OS。利用這項漏洞，Guest VM 中的攻擊者可以傳送惡意訊息給 Host OS，進而在 Host OS（即 Windows）上執行任意程式碼。

來源： Help Net Security