吳明宜2 個零時差漏洞分別攻擊 Exchange 與 Excel 快安裝修補更新
本周二微軟發佈 11 月安全更新,共修補 55 個漏洞,包括 2 個已經遭到開採的 2 個零時差漏洞。一是 Microsoft Exchange Server 遠端程式碼執行 (RCE) 漏洞 CVE-2021-42321,另一為 Excel 的安全功能繞過漏洞 CVE-2021-42292。
最新的 ProxyLogon 漏洞
CVE-2021-42321 源於 command-let (cmdlet) 引數驗證不足,讓攻擊者得以執行惡意程式碼。這是 Exchange Server 繼今年中國駭客組織 Hafnium 開採的 ProxyLogon 後最新一個被開採的漏洞。所幸攻擊者必須是經驗證的使用者,讓本漏洞風險得以降低。微軟也偵測到網路上已有針對該漏洞的少數精準攻擊。
本漏洞影響本地部署的 Exchange Server 2016 與 2019,以及 Exchange Hybrid 模式的環境。Exchange Online 則因微軟已修補漏洞而無不受影響。
後驗證 (post-authentication) 攻擊相當危險,因為它具有合法憑證但憑證外洩或被竊取用戶將會受到影響。某些情況下,連啟用雙因素驗證 (2FA) 也無法阻擋後驗證攻擊,因為攻擊者在通過第二道驗證後惡意活動才開始。微軟因而呼籲用戶儘速升級到最新 Exchange Server 軟體。
Excel 的安全保護機制不見了?
另一個存在 Excel 的安全機制繞過零時差漏洞 CVE-2021-42292 是由微軟安全威脅情報中心發現。該漏洞是出在,在 Excel 載入程式碼前一般會跳提示問你是否要載入,用戶同意後才能執行。但因為這項漏洞,導致 Excel 提示消失了,等於使用者繞過安全保護而執行惡意程式碼。攻擊者可傳送惡意變造的檔案時引發程式碼執行。
微軟雖已釋出修補程式,但是僅補好 Windows 版 Excel,讓 Office for Mac 用戶仍然持續曝險。
微軟修補的漏洞還包括:
- CVE-2021-38666,為 RDP (Remote Desktop Client) 的 RCE 漏洞,用戶被導向惡意 RCP 伺服器時會觸發本漏洞。
- CVE 2021-42298 為 Microsoft Defender 的 RCE 漏洞。連網系統接獲惡意程式定義檔更新,或是 Microsoft Malware Protection Engine 更新時,該 RCE 漏洞會自動關閉起來以降低被偵測到的機會。
- CVE-2021-26443 為微軟 Virtual Machine Bus (VMBu) 的 RCE 漏洞,可使程式碼突破 Guest OS、進入主機的 Host OS。利用這項漏洞,Guest VM 中的攻擊者可以傳送惡意訊息給 Host OS,進而在 Host OS(即 Windows)上執行任意程式碼。