微軟 12 月安全更新修補 6 項零時差漏洞 包括可關閉安全工具的漏洞
美國時間周二(台灣時間周三)微軟發佈 Patch Tuesday,修補 67 項漏洞,其中包括 6 項零時差漏洞,包括一個遭積極開採的 Windows Installer 漏洞。
今天修補的 67 項漏洞中,有 7 項屬於重大漏洞,60 項為重要漏洞。所謂零時差漏洞是指已公開、已有開採程式或已被開採,但還沒有官方修補程式的漏洞,本月有 6 項零時差漏洞,其中 2 項已有開採程式。。
已出現開採程式的第一項漏洞為 Windows AppX Installer 漏洞,正式名稱為 CVE-2021-43890。它讓攻擊者得以建立惡意封裝檔,再修改、偽裝成合法程式;最有效的方法是傳送釣魚信誘騙用戶開啟惡意附件。一旦被開採,攻擊者可能取得受害者帳號權限,若該帳號為管理員帳號,後果將十分嚴重。
安全廠商偵測多項攻擊行動已利用該漏洞散布 Emotet、TrickBot 及 BazarLoader。修補之後,使封裝檔無法再冒充合法程式,不過仍無法阻止駭客傳送惡意連結合或附件。
另一項出現開採程式的漏洞為 CVE-2021-43883,為 Windows Installer 中的權限升級漏洞。安全廠商 Immersive Labs 判斷這漏洞可能是源自微軟 11 月另一項 Windows Installer 權限升級 (EoP) 漏洞 CVE-2021-41379 修補不全的結果。一旦攻擊者開採該漏洞,取得管理員權限就能關閉安全工具,部署其他惡意程式或 Mimikatz 工具。因此這漏洞正是想內部橫向移動的攻擊者最求之不得的。
安全廠商 Tenable 觀察到 11 月網路上已流傳 CVE-2021-41379 的概念驗證 (POC) 開採程式,並被攻擊者鎖定,不過微軟稱沒有看到開採活動。
其他 4 個零時差漏洞(已公開但未有開採程式)包括 NTFS Set Short Name 元件的 EoP 漏洞 (CVE-2021-43240)、Print Spooler EoP 漏洞 (CVE-2021-41333)、Windows Mobile Device Management EoP 漏洞 (CVE-2021-43880) 及 Windows Encrypting File System(EFS) 中的 EoP 漏洞 (CVE-2021-43893)。
來源:ThreatPost