微软修复Exchange Server零日漏洞

微软今天发布的11月安全更新包含对55个漏洞的修复，其中包括6个零日漏洞——其中两个目前正在被利用。

但至少一位安全研究人员表示，企业最应该关注的漏洞CVE-2021-42298，这是Microsoft Defender中的一个关键漏洞，攻击者可以利用它在易受攻击的系统上远程执行恶意代码。

Virsec的首席架构师Danny Kim在一份声明中说：“我认为这个CVE应该是所有企业的首要考虑因素。” Microsoft本身已将该漏洞评估为严重且可能被利用。此外，Windows Defender可在所有受支持的Windows版本上运行，因此该漏洞显着增加了组织的潜在攻击面。

“这个CVE确实需要一些用户交互，但是，我们过去已经看到攻击者如何使用社会工程/网络钓鱼电子邮件相当容易地实现这种交互。”Kim说。

Kim将CVE-2021-26443描述为组织应优先考虑的另一个漏洞。远程代码执行漏洞存在于微软虚拟机总线(VMBus)中，这是该公司Hyper-V虚拟化技术的一个通信组件。该漏洞为攻击者提供了一种逃避虚拟机内置保护并在底层物理主机系统上运行恶意代码的方法。

Kim说：“这意味着攻击者不仅可以对虚拟机造成伤害，还可以对该物理主机上运行的所有虚拟机造成伤害。”。他指出，在物理主机上运行任意代码的能力是攻击者能够实现的最深层次渗透之一。

同时，目前可用的两个漏洞利用代码存在于Microsoft Exchange Server( CVE-2021-42321 )和Microsoft Excel( CVE-2021-42292 )中。

Exchange Server缺陷是由于cmdlet验证不当造成的，cmdlet是PowerShell环境中经常使用的命令。该漏洞可以通过网络利用，不是很复杂，并且需要低权限且无需用户交互。微软称该漏洞对数据机密性、完整性和可用性具有重大影响，并表示已检测到对该漏洞的利用活动。

“与所有Exchange漏洞一样，我们敦促Exchange管理员尽快测试和部署补丁。”趋势科技零日计划的Dustin Childs)在一份声明中说。

Microsoft Excel缺陷(CVE-2021-42292)——该公司11月更新中的另一个被积极利用的漏洞，是一个绕过安全功能的漏洞，在打开某些恶意创建的文件时会导致执行恶意代码。

Childs说：“目前还不清楚它是恶意宏还是电子表格中加载的某种其他形式的代码。” 但用户应该谨慎打开意外附件一段时间，尤其是Office for Mac用户，因为微软尚未发布补丁，Childs指出。

“有趣的是，微软将其列为主动攻击，但CVSS评级将利用代码成熟度列为‘概念证明’。”他说。

微软最新安全更新中的其他四个漏洞已被公开披露，但尚未与任何漏洞利用活动相关联。其中两个漏洞——CVE-2021-38631和CVE-2021-41371——涉及微软经常针对的远程桌面协议技术。两者都是微软描述为不太可能被利用的信息披露漏洞。另外两个众所周知的缺陷——CVE-2021-43208和CVE-2021-43209——都是微软3D Viewer Remote技术中的远程代码执行缺陷。

与往常一样，微软发布补丁的55个漏洞影响了该公司的各种产品，包括Microsoft Office、Windows、Azure、Power BI和Visual Studio。然而，该公司本月披露的实际漏洞数量低于今年前几个月。例如，微软2021年1月的安全更新解决了83个漏洞。6月和9月，该公司披露了60多个错误，微软10月21日的更新包含对70多个漏洞的修复。