漏洞背景
2021年11月10日,微软发布了2021年11月份安全更新,共55个漏洞补丁。
漏洞描述
本次更新主要涵盖了Microsoft Windows和Windows组件、Azure、Azure RTOS、Azure Sphere、Microsoft Dynamics、Microsoft Edge (Chromium-based)、Exchange Server、Microsoft Office、Office组件和Windows Hyper-V、Windows Defender、Visual Studio等多个Windows平台下应用软件和组件。
其中部分重要漏洞描述如下:
1、Microsoft Exchange Server远程代码执行漏洞(CVE-2021-42321)
Microsoft Exchange Server是个消息与协作系统。Exchange server 可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。攻击者经过身份验证后,可在受影响的机器上进行远程代码执行。此漏洞影响本地 Exchange Server,包括用户在Exchange混合模式下使用的服务器。目前该漏洞已发现在野利用。
2、Microsoft Excel 安全功能绕过漏洞(CVE-2021-42292)
Microsoft Excel是一款电子试算表程序(进行数字和预算运算的软件程序)。当使用受影响的Excel版本打开一个特别制作的文件时,可能导致代码执行。目前该漏洞已发现在野利用。
3、远程桌面客户端远程代码执行漏洞(CVE-2021-38666)
远程桌面客户端是微软提供的一款用于登录和控制远程 PC 的工具。在远程桌面连接的情况下,当受害者使用易受攻击的远程桌面客户端连接到攻击服务器时,控制远程桌面服务器的攻击者可以在 RDP 客户端计算机上触发远程代码执行。
4、Microsoft Virtual Machine Bus(VMBus)远程代码执行漏洞(CVE-2021-26443)
VMBus 是 Microsoft 虚拟机 Hyper-V 下的高速内存总线架构,来自虚拟机硬件请求(显卡、鼠标、磁盘、网络),可以直接经过VSC,通过VMbus总线发送到根分区的VSP,VSP 调用对应的设备驱动,直接访问硬件。当VM来宾无法正确处理VMBus通道上的通信时,存在远程执行代码漏洞。要利用此漏洞,经过身份验证的攻击者可以在VMBus通道上从来宾VM向主机发送特制的通信。攻击者成功利用该漏洞可以在主机操作系统上执行任意代码。
5、NTFS 特权提升漏洞(CVE-2021-42283)
NTFS(New Technology File System)是Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式,提供长文件名、数据保护和恢复,能通过目录和文件许可实现安全性,并支持跨越分区。攻击者成功利用该漏洞,可实现权限提升。
6、Microsoft COM 远程执行代码漏洞(CVE-2021-42275)
COM(Component Object Model,组件对象模型),是由微软推出的一套接口规范,通过设定不同组件之间需要遵守的标准与协议,主要用来跨语言、跨进程之间的模块通信。攻击者可以通过从用户模式应用程序发送专门针对COM服务器的恶意COM流量来利用此 Windows COM漏洞,这可能会导致远程代码执行。
7、Microsoft Dynamics 365(本地)远程执行代码漏洞(CVE-2021-42316)
Microsoft Dynamics 365是微软新一代云端智能商业应用。攻击者成功利用该漏洞可实现任意代码执行。
漏洞风险
利用上述漏洞,攻击者可以绕过安全功能限制,获取敏感信息,提升权限,执行远程代码,或发起拒绝服务攻击等。
影响范围
Microsoft Windows
Microsoft Windows 10
Microsoft Windows 7
Microsoft Windows 8.1
Microsoft Windows Server
Microsoft Windows Server 2008
Microsoft Windows Server 2012
Microsoft Windows Server 2016
Microsoft Windows Server 2019
Microsoft Exchange Server
解决方案
目前,微软官方已经发布补丁修复了上述漏洞,建议相关用户及时确认漏洞影响,尽快采取修补措施,避免引发漏洞相关的网络安全事件。参考链接如下:
https://msrc.microsoft.com/update-guide/releaseNote/2021-Nov