多个致命漏洞已被修复,请立即更新您的程序
2021-10-20
来源:祺印说信安
您知道周二补丁日吗?电脑爱好者或安全行业人士也许都知道,所谓“周二补丁日(Patch Tuesday)”是指微软在每个月的第二个星期二定期发布系统更新补丁的日子。每个月的第二个周二更新是微软安全更新的传统做法,当然除此之外,微软还会根据具体情况不定期发布紧急补丁。刚刚过去的10月12日正是周二补丁日,让我们看看近期微软和Adobe都修复了哪些重要漏洞。
微软共修复了71个漏洞
微软在10月12日的周二补丁日共修复了 71个安全漏洞。其中,最重要的是Win32k驱动中发现的特权提升漏洞,经分析该漏洞存在致命风险。据了解,该漏洞已经被某APT组织用于攻击各种公司和机构。至少从今年8月开始,攻击活动就一直在进行。
这个有问题的零日漏洞是CVE-2021-40449,它是一种UaF漏洞。该漏洞在Win32k内核驱动程序中被发现,如果它被成功利用,便可以提升权限。但是,它不能被远程利用。卡巴斯基在调查今年8月和9月Windows 服务器上发现的各种攻击案例时,发现并报告了该漏洞。 但它已被黑客组织使用。
这个黑客组织是一个名为“Iron Husky”的组织,该组织至少自 2012 年以来一直活跃。该组织利用“零日攻击”主要针对国防、IT公司和通讯领域等,卡巴斯基将这类威胁称为“神秘蜗牛(Mystery Snail)”。
卡巴斯基的安全研究员鲍里斯?拉林(Boris Larin)将该零日漏洞描述为“易于利用,且可以让攻击者获得对装备的完全控制权限。如果能够成功利用此漏洞,攻击者几乎可以做任何事情。既可以窃取身份认证的凭据,也可以攻击同一网络上的其他设备,还能确保攻击的持续性。”
值得庆幸的是,该漏洞的利用代码并未公开,它仅被黑客组织秘密操作使用。但是,由于不知道谁会成为Iron Husky的攻击对象(即任何人都有可能成为Iron Husky攻击对象),因此建议紧急修补此漏洞。该漏洞存在于 Win32k 内核驱动程序中。它是操作系统最重要的部分之一。除了打补丁之外,没有其它针对此漏洞的修复程序。
安全公司Breach Quest的CTO杰克?威廉姆斯(Jake Williams)解释说:“虽然此次披露的零日漏洞不能被远程利用,但也绝对不能被忽视。攻击者们不会因为无法进行远程攻击而放弃。他们可以绕过端点控制并通过网络钓鱼攻击或利用其它漏洞来执行恶意操作。远程攻击的可能与不可能不再是判断攻击难度的因素。”
此外,他还强调说,“漏洞利用代码尚未公开的事实也不是令人放心的因素。如果原来的攻击者利用该漏洞,其他攻击者也会开始利用。我曾多次遇到过,先进的攻击工具、技术诀窍、战略战术或代码被传递给其他网络犯罪组织,并由具有更高攻击技能的APT组织升级。这是一个永远存在的趋势,什么时候普及,只是时间问题。”
值得注意的是,在此次定期补丁发布前微软就披露并修复了3个零日漏洞。与上述零日漏洞不同,这3个漏洞目前尚未在实际攻击中被利用。它们分别是:
1)CVE-2021-40469:在Windows DNS服务器中发现的远程代码执行漏洞。
2)CVE-2021-41335:在Windows内核发现的特权提升漏洞。
3)CVE-2021-41338:在Windows App Container防火墙中发现的安全功能绕过漏洞。
微软认为,这3个漏洞虽然被分类为“零日漏洞”,但实际应用于攻击的概率较低。
此外,美国国家安全局(NSA)认为此次修复的漏洞中一个值得注意的漏洞是CVE-2021-26427。这是在Microsoft Exchange服务器中发现的新漏洞。Exchange服务器是今年最热门的IT基础设施组件之一,几乎全年都在不断受到黑客的攻击。值得注意的是,攻击者要想利用该漏洞必须和受害者处于同一个本地网络中。
今年夏天持续出现问题的Print Spooler组件中再次发现了新漏洞——CVE-2021-36970。虽然这不是一个严重的漏洞,但它被标记为“更具可利用性”。这是一个可以进行一种欺骗攻击的漏洞,就像今年发现的另一个打印后台处理程序漏洞“打印噩梦(Print Nightmare)”一样,它很可能被主动利用而造成伤害。安全研究员ollypwn在推特上发帖指出:欺骗性漏洞攻击者可以冒充或被识别为另一个用户,并通过滥用Spooler服务将任意文件上传至其它服务器。
其它值得注意的漏洞还包括影响Windows Hyper-V(CVE-2021-38672和CVE-2021-40461)、SharePoint服务器(CVE-2021-40487和CVE-2021-41344)和Microsoft Word(CVE-2021-40486)的远程代码执行漏洞,以及富文本编辑控制(CVE-2021-40454)的信息泄露漏洞等。
Adobe共修补了10个漏洞
专门从事图形解决方案的Adobe在近期常规补丁日修补了10个安全漏洞,其中4个漏洞被归类为致命风险。受这些漏洞影响的Adobe产品包括Acrobat、Reader、Connect、Commerce、Ops-cli和 Campaign Standard等。但是,Adobe方面认为这些漏洞被实际利用的可能性很低。
“
首先,修补了Acrobat和Reader(适用于Windows和Mac OS)中的四个漏洞,它们分别是:
1)CVE-2021-40728:任意代码执行漏洞
2)CVE-2021-40731:任意代码执行漏洞
3)CVE-2021-40729:特权提升漏洞
4)CVE-2021-40720:特权提升漏洞
其中,1号和2号漏洞分别因为会出现UaF和越界(Out of Bounds)错误,而被归类为具有致命风险的漏洞。3号和4号漏洞被归类为具有中等风险的漏洞。
其次,在Campaign Standard 产品(适用于Windows和Linux系统)中发现并修补了一个跨站脚本攻击(XSS)漏洞。据分析,该漏洞也具有致命风险。
再次,在Connect产品中也发现并修补了一个XSS漏洞,但经分析,该漏洞在本产品中并不致命。在 Connect 中还发现的另一个漏洞——代码执行漏洞,具有致命风险。这是一个与不可靠数据的反序列化相关的漏洞。 此外,与数据反序列化相关的漏洞还出现在Adobe Ops-cli中。据悉,Adobe的Ops-cli是一个基于 Python 的开源rapper,只在Adobe内部使用。
最后,在Adobe Commerce产品中也发现了一个XSS的漏洞。虽然该漏洞是一个”存储型XSS(Stored XSS)“漏洞,但它最终被归类为高危风险漏洞。Adobe警告说,该漏洞可能是一个非常危险的漏洞,因为它可以在不经过身份验证程序的情况下被利用。
在此次Adobe修补的10个漏洞中,目前尚未发现被攻击者利用的迹象。即使一些漏洞存在致命风险,但Adobe分析认为,这些漏洞实际利用的可能性很低。尽管如此,对于拥有Acrobat Reader产品的用户来说,由于该产品用户数量较多,很可能会引起攻击者的关注,因此及时修复补丁才会比较安全。
结语
研究表明,操作系统和应用软件的漏洞,经常会成为黑客攻击的突破口。解决漏洞问题最直接最有效的办法就是打补丁。但打补丁是比较被动的方式,对于企业来说,收集、测试、备份、分发等相关的打补丁流程仍然是一个颇为繁琐的过程,甚至有的补丁本身就有可能成为新的漏洞。
为解决补丁管理上的混乱,首先需要建立一个覆盖整个网络的自动化补丁数据库;其次是部署一个分发系统,提高补丁分发效率。另外,不仅是补丁管理程序,整个漏洞管理系统还需要与企业的防入侵系统、防病毒系统等其他安全系统集成,从而构筑一条完整的风险管理防线。
由此可见,无论对于政府部门、企业组织,还是个人来说,及时更新程序、打补丁修复漏洞是保障我们网络安全的重要举措之一。要养成良好的网络安全习惯就让我们从及时打补丁开始。今天您的程序更新了吗?