微软修补了66个CVE中的MSHTML漏洞

微软今天发布了66个CVE的补丁，其中两个是公开的，一个是受到攻击的。

本月的补丁发布解决了Microsoft Windows、Edge浏览器、Azure、Office、SharePoint Server、Microsoft Windows DNS和适用于Linux的Windows子系统中的66个漏洞。三个被归类为严重，62个为重要，一个为中等。

CVE-2021-40444

主动攻击的漏洞是远程代码执行漏洞CVE-2021-40444，它存在于微软MSHTML中，微软MSHTML是Windows内置的浏览器引擎，允许操作系统读取和显示HTML文件。微软上周在一份公告中披露了CVE，警告它正被用于有针对性的攻击，以及缓解措施和变通方法。

攻击者可以通过在Office文件中嵌入特制的ActiveX控件并将其发送给受害者来利用此漏洞。微软表示，如果打开恶意代码将在已登录的受害者级别执行，这意味着在系统上拥有较少用户权限的人可能比拥有管理用户权限的人受到的影响要小。攻击需要低复杂性和无特权，但成功的利用确实需要用户交互。

此漏洞影响Windows 7到Windows 10，以及 Windows Server 2008到Windows Server 2019。虽然没有关于微软提到的目标漏洞之外的主动攻击的报告，但组织应该更新他们的系统，因为补丁可用。

CVE-2021-36965

安全团队还应注意CVE-2021-36965，这是Windows WLAN AutoConfig服务中的一个远程代码执行漏洞。如果被利用，此漏洞可能允许与受害者在同一网络上的攻击者在系统级别的目标机器上运行他们的代码。它被标记为“关键”，CVSS 3.0得分为8.8，并且无需特权或用户交互即可利用。

Virsec首席架构师Danny Kim说：“它特别依赖于位于同一网络中的攻击者，因此看到此漏洞与另一种CVE攻击结合使用来实现攻击者的最终目标也就不足为奇了。”

CVE-2021-38647

本月评分最高的补丁是CVE-2021-38647，这是一个开放管理基础设施(OMI)远程代码执行漏洞，CVSS 3.0得分为9.8。攻击者可以通过HTTPS向易受攻击系统上的端口5986（也称为WinRMport）发送特制消息来利用此漏洞。

微软指出，“一些Azure产品，如配置管理，公开了一个用于与OMI交互的HTTP/S端口或端口5986。“启用HTTP/S侦听器的配置可能允许远程代码执行。重要的是提到大多数使用OMI的Azure服务部署它时不暴露HTTP/S端口。

CVE-2021-36968

另一个需要优先考虑的补丁是CVE-2021-36968，这是Windows DNS中的一个特权提升漏洞，其CVSS 3.0得分为7.8。微软提供了很少的细节，但指出攻击需要低攻击复杂性、低权限和无用户交互。这会影响Windows 7、Windows Server 2008和Windows Server 2008 R2。

微软去年从漏洞披露中删除了缺乏执行摘要，这让寻求更多细节的安全团队感到沮丧。

Tripwire安全研发经理Tyler Reguly说：“执行摘要是漏洞和补丁管理的重要组成部分，而且从整体上讲，删除它们的痛苦仍然存在。”虽然这个缺陷的CVSS得分很高，但“绝对没有细节可以帮助管理员了解他们正在处理什么或风险在哪里。”

最后，今天的推出为Windows Print Spooler带来了三个额外的补丁：CVE-2021-38667、CVE-2021-38671和CVE-2021-40447。在2021年7月PrintNightmare披露之后，Print Spooler漏洞一直存在。安全研究人员继续寻找新的方法来定位该服务，预计他们将继续探索这一领域。