微软修复了Win32驱动程序中的零日漏洞

微软周二发布了针对70多个漏洞的补丁,其中一个Win32k特权提升漏洞已知在攻击中被积极利用。

微软10月份的一批安全更新还包括修复其他三个公开披露的漏洞以及美国国家安全局(NSA)向该公司报告的Exchange Server漏洞。目前已知这些缺陷都没有被积极利用。

CVE-2021-40449是一个被广泛利用的漏洞,它是Win32k内核驱动程序中所谓的释放后使用漏洞,它为攻击者提供了一种在受感染的Windows机器上提升权限的方法。该漏洞不可远程利用。卡巴斯基在2021年8月下旬至9月上旬调查对多个Windows服务器的攻击时发现了零日威胁。安全供应商对攻击中使用的恶意软件的分析表明,它被用于针对多个组织的广泛网络间谍活动。

卡巴斯基的安全研究员鲍里斯·拉林(Boris Larin)将这个漏洞描述为很容易被利用,并允许攻击者在获得初始立足点后获得对易受攻击系统的完全控制。“在成功利用漏洞之后,攻击者基本上可以为所欲为——窃取身份验证凭据,攻击网络中的其他机器和服务并实现持久性。”拉林说。

目前,该漏洞的利用代码尚未公开,仅观察到IronHusky组织在使用该漏洞。然而,该漏洞正在被积极利用这一事实意味着组织应该尽快应用微软的补丁程序,拉林说。“该漏洞存在于Win32k内核驱动程序中,它是操作系统的重要组成部分。因此,不幸的是,该漏洞没有解决方法。”他说。

BreachQuest的联合创始人兼首席技术官Jake Williams表示,组织不应仅仅因为Win32k缺陷不可远程利用而低估其对环境的威胁。攻击者定期使用网络钓鱼攻击访问目标机器,CVE-2021-40449等漏洞使他们能够绕过端点控制并更有效地逃避检测。

“因为这个代码已经被一个威胁行为者武器化了,我们应该期待看到它被其他人更快地武器化,因为已经有可以使用的样本漏洞利用代码。”Williams说。

公开披露的漏洞

微软10月补丁更新中的另外三个漏洞是CVE-2021-40469、CVE-2021-41335和CVE-2021-41338,因为它们在补丁发布之前就已公开披露而引起了一些关注。CVE-2021-40469是Windows DNS服务器中的远程代码执行缺陷。Microsoft已将针对该缺陷的成功利用描述为可能对数据机密性、可用性和完整性产生重大影响。如果目标服务器配置为DNS服务器,则该缺陷会构成威胁;然而,微软表示,被利用的可能性很低。

来自BreachQuest的Williams同意这个缺陷可能难以武器化。但他说,DNS服务器通常运行在域控制器上的事实使这成为一个非常严重的问题。“在域控制器上获得远程代码执行的威胁行为者可能会立即获得域管理员权限。在最好的情况下,他们距离获得域管理员特权仅一步之遥,”他指出。

同时,CVE-2021-41335是Windows内核中的提权漏洞,而CVE-2021-41338是Windows AppContainer防火墙中的安全功能绕过漏洞。尽管这两个漏洞都在今天的补丁发布之前公开披露,因此属于零日漏洞,但微软已评估这些漏洞被利用的可能性很低。

NSA警报

同时,NSA向微软报告的Exchange Server漏洞(CVE-2021-26427)是研究人员今年在Exchange Server中发现的越来越多的关键漏洞列表中的最新一个。攻击者已经需要在目标网络上才能利用该漏洞。微软表示,如果攻击者与目标共享相同的物理或本地网络,或者已经在安全或有限的管理域内,则它是可利用的。

微软10月的补丁更新还包括针对该公司Print Spooler技术中另一个漏洞的补丁。最新的漏洞(CVE-2021-36970)是Print Spooler中的一个欺骗漏洞,Microsoft将其描述为攻击者更有可能利用的漏洞。Print Spooler之前的漏洞——包括一组被称为PrintNightmare的缺陷——引起了相当大的关注,因为攻击者可能会利用它们造成潜在的损害。

微软对Print Spooler缺陷的一些修复加剧了对该技术的担忧。

“虽然微软在2021年9月的更新中提供了修复程序,但该补丁导致了许多管理问题,”Digital Shadows的高级网络威胁情报分析师Chris Morgan说。“每次应用程序尝试打印或让客户端连接到打印服务器时,某些打印机要求用户重复输入他们的管理员凭据。”他说。

他补充说,其他问题包括记录错误消息的事件日志和拒绝用户执行基本打印的能力。

前一篇丽江市2021年国家网络安全宣传周启动 共筑网络安全屏障
后一篇2021年最危险的七个恶意软件