微軟 12 月安全更新修補 6 項零時差漏洞 包括可關閉安全工具的漏洞

美國時間周二（台灣時間周三）微軟發佈 Patch Tuesday，修補 67 項漏洞，其中包括 6 項零時差漏洞，包括一個遭積極開採的 Windows Installer 漏洞。

今天修補的 67 項漏洞中，有 7 項屬於重大漏洞，60 項為重要漏洞。所謂零時差漏洞是指已公開、已有開採程式或已被開採，但還沒有官方修補程式的漏洞，本月有 6 項零時差漏洞，其中 2 項已有開採程式。。

已出現開採程式的第一項漏洞為 Windows AppX Installer 漏洞，正式名稱為 CVE-2021-43890。它讓攻擊者得以建立惡意封裝檔，再修改、偽裝成合法程式；最有效的方法是傳送釣魚信誘騙用戶開啟惡意附件。一旦被開採，攻擊者可能取得受害者帳號權限，若該帳號為管理員帳號，後果將十分嚴重。

安全廠商偵測多項攻擊行動已利用該漏洞散布 Emotet、TrickBot 及 BazarLoader。修補之後，使封裝檔無法再冒充合法程式，不過仍無法阻止駭客傳送惡意連結合或附件。

另一項出現開採程式的漏洞為 CVE-2021-43883，為 Windows Installer 中的權限升級漏洞。安全廠商 Immersive Labs 判斷這漏洞可能是源自微軟 11 月另一項 Windows Installer 權限升級 (EoP) 漏洞 CVE-2021-41379 修補不全的結果。一旦攻擊者開採該漏洞，取得管理員權限就能關閉安全工具，部署其他惡意程式或 Mimikatz 工具。因此這漏洞正是想內部橫向移動的攻擊者最求之不得的。

安全廠商 Tenable 觀察到 11 月網路上已流傳 CVE-2021-41379 的概念驗證 (POC) 開採程式，並被攻擊者鎖定，不過微軟稱沒有看到開採活動。

其他 4 個零時差漏洞（已公開但未有開採程式）包括 NTFS Set Short Name 元件的 EoP 漏洞 (CVE-2021-43240)、Print Spooler EoP 漏洞 (CVE-2021-41333)、Windows Mobile Device Management EoP 漏洞 (CVE-2021-43880) 及 Windows Encrypting File System(EFS) 中的 EoP 漏洞 (CVE-2021-43893)。

來源：ThreatPost