微軟12月安全更新修補6項零時差漏洞 包括可關閉安全工具的漏洞

美國時間周二（台灣時間周三）微軟發佈Patch Tuesday，修補67項漏洞，其中包括6項零時差漏洞，包括一個遭積極開採的Windows Installer漏洞。

今天修補的67項漏洞中，有7項屬於重大漏洞，60項為重要漏洞。所謂零時差漏洞是指已公開、已有開採程式或已被開採，但還沒有官方修補程式的漏洞，本月有6項零時差漏洞，其中2項已有開採程式。。

已出現開採程式的第一項漏洞為Windows AppX Installer漏洞，正式名稱為CVE-2021-43890。它讓攻擊者得以建立惡意封裝檔，再修改、偽裝成合法程式；最有效的方法是傳送釣魚信誘騙用戶開啟惡意附件。一旦被開採，攻擊者可能取得受害者帳號權限，若該帳號為管理員帳號，後果將十分嚴重。

安全廠商偵測多項攻擊行動已利用該漏洞散布Emotet、TrickBot及BazarLoader。修補之後，使封裝檔無法再冒充合法程式，不過仍無法阻止駭客傳送惡意連結合或附件。

另一項出現開採程式的漏洞為CVE-2021-43883，為Windows Installer中的權限升級漏洞。安全廠商Immersive Labs判斷這漏洞可能是源自微軟11月另一項Windows Installer權限升級(EoP)漏洞CVE-2021-41379修補不全的結果。一旦攻擊者開採該漏洞，取得管理員權限就能關閉安全工具，部署其他惡意程式或Mimikatz工具。因此這漏洞正是想內部橫向移動的攻擊者最求之不得的。

安全廠商Tenable觀察到11月網路上已流傳CVE-2021-41379的概念驗證(POC)開採程式，並被攻擊者鎖定，不過微軟稱沒有看到開採活動。

其他4個零時差漏洞（已公開但未有開採程式）包括NTFS Set Short Name元件的EoP漏洞(CVE-2021-43240)、Print Spooler EoP漏洞(CVE-2021-41333)、Windows Mobile Device Management EoP漏洞(CVE-2021-43880)及Windows Encrypting File System(EFS)中的EoP漏洞(CVE-2021-43893)。

來源：ThreatPost