微软6月补丁日修复7个0day：6个已遭利用且其中1个是为 APT 服务的商用exploit

这6个0day是：

另外，BleepingComputer 报道称，CVE-2021-31968（Windows Remote Desktop Services 拒绝服务漏洞）已公开但未见于攻击中。

这些漏洞的详情并未发布，主要是为防御人员争取修复时间，避免遭威胁行动者利用。

不过，作为率先向微软报告它们已遭利用的谷歌和卡巴斯基还是披露了少量详情。

CVE-2021-33742 是位于 Internet Explorer 浏览器中 MSHTML 组件中de 远程代码漏洞。

谷歌威胁分析团队负责人 Shane Huntley 本周二发布推文指出，团队发现该漏洞已遭在野利用，所有迹象表明该 exploit 似乎是由一家专业的商用 exploit 经纪公司开发的。ZDI 分析认为，由于该漏洞位于 Trident (MSHTML) 引擎本身，因此很多不同的应用程序可能均受影响，而不仅仅是 IE 浏览器。目前尚不清楚活跃攻击的范围有多大，但鉴于该漏洞影响所有支持的 Windows 漏洞，因此用户应优先进行测试部署。

虽然 Huntley 并未分享关于该 0day 的技术详情并表示将在30天内发布，但确实表示该 exploit 已遭某国家 APT 组织利用，攻击位于东欧和中东地区的少部分目标。

卡巴斯基公司的研究人员在上个月捕获到2个 0day 且目前仍在调查中。这两个 0day 是 CVE-2021-31955 和 CVE-2021-31956，是某复杂利用链的一部分，涉及通过 Chrome 浏览器进行 web 交付。

研究人员发布报告称，“虽然我们无法检索用于在 Chrome web 浏览器中实施远程代码执行的 exploit，但发现并分析了用于逃逸该沙箱并获得系统权限的一个提权 exploit。”

这两个 Windows 0day 均利用了 Windows OS 内核中的两个独立漏洞，影响最新发布的 Windows 10 版本（17763 – RS5, 18362 – 19H1, 18363 – 19H2, 19041 – 20H1, 19042 – 20H2），这表明该威胁行动者对攻击现代和最新版本设备感兴趣。

研究人员表示，威胁组织 PuzzleMaker 利用由 Chrome 0day 和这两个 Windows 10 0day 攻击全球多家企业，首次攻击最晚至少发生在4月中。攻击者首先通过利用链在目标系统中站稳脚跟，stager 模块下载并执行源自远程服务i去的更加复杂的恶意软件释放器。该释放器随后安装两个可执行文件，假装是属于微软 Windows OS 的合法文件，其中第二个可执行文件是一个远程 shell 模块，能够下载并上传文件、创建进程、在某段时间内睡眠并从受感染系统中自我删除。

另外，微软还修复了两个0day，CVE-2021-31199 和 CVE-2021-31201，它们和 Adobe Reader (CVE-2021-28550) 有关，后者于5月份修复。

这两个 0day 均影响微软的某个加密库，甚至影响Windows 老旧版本如 Windows 7 和 Server 2012。

遗憾的是，Adobe 和微软均未在补丁说明中披露和攻击相关的任何信息。ZDI 分析指出，活跃攻击中不同部分的补丁存在延迟的情况不常见。