黑客利用Microsoft 0 day漏洞欺骗用户打开恶意软件

微软已经解决了一个 0day 漏洞，该漏洞被广泛利用，以虚假应用程序的形式提供 Emotet、Trickbot 等。

该补丁是这家计算机巨头 12 月 Patch Tuesda 更新的一部分，其中包括针对安全漏洞的总共 67 个修复程序。这些补丁涵盖了微软产品组合的前沿，影响了 ASP.NET Core 和 Visual Studio、Azure Bot Framework SDK、Internet 存储名称服务、物联网 Defender、Edge（Chromium-based）、Microsoft Office 和 Office 组件、SharePoint Server、PowerShell、远程桌面客户端、Windows Hyper-V、Windows 移动设备管理、Windows 远程访问连接管理器、TCP/IP 和 Windows 更新堆栈。

解决的漏洞中有 7 个被评为严重，6 个之前被披露为 0day 漏洞，60 个被评为 " 重要 "。

此次更新使微软今年修补的 CVE 总数达到 887 个，与较为繁忙的 2020 年相比，数量下降了 29%。

在野外利用的 0day 漏洞

0day漏洞（CVE-2021-43890）是 Windows AppX 安装程序中的一个重要级别的欺骗漏洞，它是一种用于 Windows 10 应用程序旁加载的实用程序，可在 App Store 上获取。

Immersive Labs 网络威胁研究主管 Kevin Breen 解释说，该漏洞 " 允许攻击者创建恶意软件文件，然后将其修改为看起来像合法的应用程序，并已被用于传播今年卷土重来的 Emotet 恶意软件。"

布林警告说，" 打了补丁之后意味着软件包无法再伪装，但它不会阻止攻击者发送链接或附件到这些文件。"

根据 Tenable 的研究工程师 Satnam Narang 的说法，在今天修复之前，该漏洞出现在与 Emotet、TrickBot 和 Bazaloader 相关的多次攻击中。

" 要利用此漏洞，攻击者需要说服用户打开恶意附件，这将通过网络钓鱼攻击进行，" 他通过电子邮件解释道。" 一旦被利用，该漏洞就会授予攻击者更高的权限，尤其是当受害者的帐户在系统上具有管理权限时。"

除此之外，Microsoft 还提供了一些变通方法来防止此漏洞被利用。

其他公开的 Microsoft 漏洞

值得注意的是，微软还修补了CVE-2021-43883，这是 Windows Installer 中的一个特权提升漏洞，该漏洞已被传播，据报道，攻击者会主动将其作为攻击目标，尽管微软表示没有发现任何漏洞。

" 这似乎是对CVE-2021-41379补丁绕过的修复，这是 Windows Installer 中的另一个特权提升漏洞，据报道已于 11 月修复，"Narang 说。" 然而，研究人员发现修复并不完整，并于上月底公布了一份概念验证。"

Breen 指出，这种漏洞受到希望在网络中横向移动的攻击者的高度追捧。

" 在获得最初的立足点后，获得管理员级别的访问权限可以让攻击者禁用安全工具并部署其他恶意软件或 Mimikatz 等工具，" 他说。" 去年几乎所有的勒索软件攻击都采用了某种形式的特权升级作为发起勒索软件之前的攻击的一个重要部分。"

其他四个漏洞被列为 " 公开已知 " 但未被利用，所有漏洞都被评为重要，并允许权限提升：

· CVE-2021-43240，一个 NTFS 集短名称

· CVE-2021-43893，一个 Windows 加密文件系统（EFS）

· CVE-2021-43880，Windows 移动设备管理

· CVE-2021-41333，Windows 打印后台处理程序

该更新未解决 CVE-2021-24084，这是11 月下旬披露的一个未修补的 Windows 安全漏洞，该漏洞可能允许信息泄露和本地权限提升（LPE）。

12 月严重的 Microsoft 安全漏洞

1.iSNS 服务器中的 CVE-2021-43215

要修复的第一个严重漏洞（CVE-2021-43215）允许在 Internet 存储名称服务（iSNS）服务器上进行远程代码执行（RCE），从而能够自动发现和管理 TCP/IP 存储网络上的 iSCSI 设备。它在漏洞严重性等级上的评分为 9.8 分（满分 10 分）。

根据微软的公告，如果攻击者向受影响的服务器发送特制的请求，则可以利用该漏洞。

" 换句话说，如果您在企业中运行存储区域网络（SAN），您要么拥有一台 iSNS 服务器，要么单独配置每个逻辑接口，" 趋势科技零日计划研究员达斯汀 · 柴尔兹（Dustin Childs）在周二的博客中说，" 如果您有 SAN，请优先测试和部署此补丁。"

Breen 同意，如果组织运营 iSNS 服务，那么快速打补丁是至关重要的。

" 请记住，这不是默认组件，因此在将其添加到列表之前请先检查一下，" 他通过电子邮件说。但是，" 由于该协议用于促进网络上的数据存储，因此对于希望破坏组织从勒索软件等攻击中恢复能力的攻击者来说，它将成为高优先级目标。从网络的角度来看，这些服务通常也是可信的——这是攻击者选择此类目标的另一个原因。"

2.Visual Studio Code WSL 扩展中的 CVE-2021-43907

另一个 9.8 分的 bug 是CVE-2021-43907，这是 Visual Studio Code WSL 扩展中的一个 RCE 漏洞，微软表示可以被未经身份验证的攻击者利用，无需用户交互。它没有提供进一步的细节。

Childs 解释说：" 这个受影响的组件让用户可以使用适用于 Linux 的 Windows 子系统（WSL）作为 Visual Studio Code 的全时开发环境。"" 它允许您在基于 Linux 的环境中进行开发，使用特定于 Linux 的工具链和实用程序，并在 Windows 中运行和调试基于 Linux 的应用程序。DevOps 社区中的许多人都在使用这种跨平台功能。"

3.CVE-2021-43899 – Microsoft 4K 无线显示适配器

第三个也是最后一个 CVSS 评分 9.8 的 bug 是CVE-2021-43899，如果攻击者在与 Microsoft 4K 显示适配器相同的网络上立足，它还允许在受影响设备上进行 RCE。根据微软的说法，漏洞利用就是向受影响的设备发送特制的数据包。

" 修补这一漏洞绝非易事，"Childs 说。" 为了受到保护，用户需要从 Microsoft Store 将 Microsoft 无线显示适配器应用程序安装到与 Microsoft 4K 无线显示适配器连接的系统上。只有这样它们才能使用应用程序的 " 更新和安全 " 部分下载最新固件以缓解此错误。"

4.Microsoft Office 中的 CVE-2021-43905

另一个关键的 RCE 漏洞（CVE-2021-43905）存在于 Microsoft Office 应用程序中，CVSS 评分 9.6，微软将其标记为 " 很有可能被利用 "。

" 咨询中很少透露什么是直接风险——它只是称受影响的产品为 'Office App'，"Breen 指出。" 如果快速修补不可用，这可能会使安全团队难以确定优先级或采取缓解措施 - 特别是当安全团队已经与其他关键补丁捆绑在一起时。"

然而，Automox 的研究员 Aleks Haugom 表示，这应该是修补的优先事项。

" 作为一个低复杂性的漏洞，攻击者可以预期重复的结果，" 他在周二的分析中说。" 虽然微软没有确切披露攻击者需要哪些用户交互才能成功，但他们已经确认预览窗格不是攻击者的载体。鉴于此威胁可能会影响超出安全机构管理的安全范围的资源，因此建议立即采取补救措施。"

5.Microsoft Defender for IoT 中的 CVE-2021-42310

Defender for IoT 中发现的 10 个 bug 之一，此漏洞（CVE-2021-42310）允许 RCE，CVSS 评分 8.1。

Childs 解释说：" 密码重置请求由一个签名的 JSON 文档、一个签名证书和一个用于签署签名证书的中间证书组成。"" 中间证书应该链接到设备内置的根 CA 证书。由于此过程中存在漏洞，攻击者可以重置其他人的密码。修补这些漏洞需要系统管理员对设备本身进行操作。"

平台中的其他 9 个漏洞包括 7 个 RCE 漏洞、1 个权限提升漏洞和 1 个数据泄露漏洞，均被评为 " 重要 "。

6.Windows 加密文件系统（EFS）中的 CVE-2021-43217

此漏洞（CVE-2021-43217）允许 RCE，CVSS 评分 8.1。

" 攻击者可能会导致缓冲区溢出，从而导致未经身份验证的非沙盒代码执行，即使 EFS 服务当时没有运行，"Childs 解释说。" 如果 EFS 服务没有运行，EFS 接口可以触发它的启动。"

Jay Goodman 在 Automox 的帖子中指出，它可以与公开披露的 EFS 中的特权提升漏洞相关联，因此构成了特殊的威胁。

" 虽然这些漏洞中的任何一个都构成需要快速处理的有影响力的披露，但在一个近乎普遍的服务中，这两个漏洞的结合对数据的安全和保护至关重要，从而形成了一种独特的情况，" 他说。" 攻击可以使用 RCE 与特权提升的组合，在具有完整系统权限的目标系统上快速部署、提升和执行代码。这让攻击者可以轻松地完全控制系统，并在网络内创建一个横向传播的操作基础。"

换句话说：这是一对关键的漏洞，需要尽快解决以最大限度地降低组织风险。

7. 远程桌面客户端中的 CVE-2021-43233

该缺陷（CVE-2021-43233）允许 RCE，CVSS 评分 7，并被列为 " 很有可能被利用 "。

" 这一次……可能需要社会工程或网络钓鱼组件才能成功，" 布林解释说。"11 月的报告中修补了一个类似的漏洞CVE-2021-38666。虽然该漏洞也被标记为 " 很有可能被利用 "，但幸运的是，没有关于概念验证代码或它在野外被利用的报告，这表明量身定制的基于风险的方法来确定补丁的优先级是多么重要。"

Automox 研究员 Gina Geisel 强调了该漏洞利用的高度复杂性。

" 为了利用这个漏洞，攻击者需要控制服务器，然后必须说服用户连接到此服务器，例如，通过社会工程、DNS 中毒或使用中间人（MITM）技术，" 她说。" 攻击者还可能破坏合法服务器，在其上托管恶意代码，并等待用户连接。"

12 月 Microsoft 其他值得注意的漏洞

Childs 还将 Microsoft SharePoint Server 中的 RCE 漏洞CVE-2021-42309标记为需要优先处理的漏洞。它允许攻击者绕过对运行任意服务器端 Web 控件的限制。

" 该漏洞允许用户在服务帐户中提升和执行代码，" 他解释说。" 攻击者需要在 SharePoint 网站上拥有‘管理列表’权限，但默认情况下，任何授权用户都可以在他们拥有完全权限的情况下创建自己的新网站。"

他说这个漏洞与之前修补的CVE-2021-28474 类似，只是不安全的控件 " 被‘走私’到了一个允许控件的属性中 "。

研究人员补充说，应该优先考虑操作系统漏洞。

Ivanti 产品管理副总裁 Chris Goettl 告诉 Threatpost：" 披露的内容包括打印后台处理程序的功能示例、NTFS 和 Windows 安装程序漏洞的概念验证，因此本月应当对操作系统更新进行紧急处理。"