微软9月补丁星期二值得关注的0day、终于落幕的 PrintNightmare及其它

这66个CVE漏洞位于Windows和Windows 组件、Edge (Chromium、iOS 和安卓)、Azure、Office 和 Office 组件、SharePoint Server、Windows DNS 和 Linux 版的  Windows Subsystem 中。其中3个是“高危”几倍，62个是“重要”级别，1个是“中危“级别。这次修复的漏洞总数略高于2021年的均值，2021年的漏洞总量均值低于2020年但仍然高于2019年。和上个月一样，微软投入大量资源应付遭活跃攻击的漏洞，其中最为人所知的是CVE-2021-40444，而另外一个漏洞也被列为”公开已知“但目前尚未遭利用。

在本次补丁星期二中，微软还发布了 CVE-2021-36958 的新的安全更新。曾指出该漏洞之前补丁可遭绕过的研究员 Benjamin Delpy 测试了这次发布的补丁，证实称该漏洞已被修复。

Delpy 指出除了修复该漏洞外，微软还默认禁用 CopyFiles 特性并增加了新的组策略，可允许管理员再次启用该特性。

可通过 HKLM\Software\Policies\Microsoft\Windows NT\Printers 键下的 Windows Registry 配置该组策略，并添加值 CopyFilesPolicy。将值设为1，则再次启用 CopyFiles。然而，即使启用后，也仅允许该特性使用 C:\Windows\System32\mscms.dll 文件。由于该变更件给允许 Windows的默认行为，因此目前尚不清楚打印时会带来何种问题。微软尚未发布关于该组策略的任何信息，且在 Group Policy Editor 中不可用。

CVE-2021-40444 是微软 MSHTML 远程代码执行漏洞。攻击者正在通过 Office 文档利用该漏洞。Office 中内嵌特殊构造的 ActiveX 控制，之后被发送给目标。如在受影响系统中打开该文档，则代码会以已登录用户身份执行。微软将禁用 ActiveX 列为缓解措施，但多份报告指出此举无效。截至目前，最有效的防御措施是应用该补丁并避免打开收到的不明 Office 文档。每个具体的平台都发布了对应的安全更新，因此用户应仔细查看并安装所有所需补丁。

虽然上周微软并未发布当时还是0day的该漏洞的详情，但安全研究员和恶意软件开发人员很快发现该漏洞的性质且该漏洞的 PoC 已出现，另外该漏洞已遭利用。但该补丁是否奏效还有待验证。多名安全研究员公开表示该漏洞深藏于Office 核心行为中，攻击者可找到多种新方法滥用该漏洞，成为另一个打补丁永无止尽的 PrintNightmare。

CVE-2021-36965是 Windows WLAN AutoConfig Service 远程代码执行漏洞，可允许网络相邻攻击者在受影响系统的系统层面运行代码。也就是说位于相邻网络的攻击者能够完全接管目标，在咖啡店多人使用不安全的 WiFi 网络场景下极其有用。另外，利用该漏洞无需权限或用户交互，因此用户应快速测试并部署该补丁。

CVE-2021-38647是开放管理基础设施 (OMI) 中的远程代码执行漏洞，CVSS 评分为9.8，为本次补丁星期二中所列漏洞中的最高评分。OMI 是一款开源项目，旨在推进DMTF CIM/WBEM 标准生产质量实现的开发。由于利用该漏洞无需用户交互或权限，因此攻击者仅需向受影响系统发送特殊构造的信息即可在受影响系统运行代码。OMI 用户应迅速测试并部署该补丁。

余下的“严重”级别漏洞是位于 Scripting Engine 中的代码执行漏洞。攻击者需要说服用户浏览特殊构造的网站或打开文件以执行代码。该补丁星期二修复的很多其它 RCE 漏洞影响 Office 或 Office 组件。Visio 也罕见地收到了补丁。

微软本次共修复27个提权漏洞，其中最引人注目的是已公开的影响 DNS 的漏洞 CVE-2021-36968，且详情已公开。微软表示该漏洞并未遭利用，但并未说明更多详情，仅表示需要本地权限才能成功利用该漏洞。该漏洞不同于 Blind Filter Driver 中的漏洞，它完全不同于 ISC BIND DNS 系统。另外值得注意的提权漏洞包括 Edge (Chromium) 更新——仅针对 Edge (Chromium)，并非源自 Chromium 且谷歌已修复。Visual Studio 修复了一个因安装程序所使用资源的权限设置不正确引发的提权漏洞。攻击者可利用该漏洞提权并在系统上下文中执行任意代码。本次修复了多个 Print Spooler 漏洞，不过似乎其影响力或紧急性并不如 PrintNightmare 系列漏洞严重。其它的提权漏洞位于 Windows组件中。几乎在所有情况下，攻击者都需要登录受影响系统并运行特殊构造的代码才能利用这些漏洞。有意思的是有研究员表示“迫不及待“地想要公开其它 Print Spooler 漏洞，真相如何，我们将持续关注。

本月虽然仅发布了两个关于安全特性绕过的补丁，但其中一个看起来异常面熟。CVE-2021-38632 漏洞可导致对已关闭系统具有物理访问权限的攻击者获得对加密数据的访问权限。该漏洞听起来似乎和2008年讨论广泛的“冷启动”攻击有点相似。另外一个安全特性绕过漏洞 （CVE-2021-38624）可导致攻击者绕过 Windows Key Storage Provider。虽然该漏洞有一些模糊，但令人惊讶的是微软对其利用的复杂度评价为“低”。这显然是必须关注的一个漏洞。

微软在本月补丁星期二中共修复了12个信息泄露漏洞，其中大多可导致不明内存内容泄露，不过有一个例外是位于 Windows Installer 中的漏洞，可导致攻击者从文件系统中读取内容。Windows Storage 组件中含有一个具有类似影响的漏洞。目前尚不清楚攻击者是否可读取任意文件还是仅读取特定文件和位置。在微软 Accessibility Insights for Android 中修复的漏洞更加模糊。微软指出所暴露的信息是“敏感信息”。

本次还修复了7个欺骗漏洞和一个 XSS 漏洞。微软并未说明可遭欺骗的内容。微软还修复了 iOS 和安卓版本的 Edge 漏洞，因此用户应尽快更新应用。另外微软还修复了 Windows Authenticode 中的一个欺骗漏洞，但攻击者向量被列为要求本地权限。很有可能该漏洞可导致攻击者访问某些禁止访问的内容，不过由于缺少详情，目前只是猜测。

最后，微软还修复了 Windows Installer 中的一个DoS 漏洞以及 Edge (Chromium) 属于篡该类型的漏洞。虽然微软并未进行详细说明，但浏览器中的篡改漏洞一般意味着攻击者可查看和/或更改浏览器中的数据。耐人寻味的是，微软似乎在9月9日就发布了该更新，但无法对应到Chrome 团队发布的漏洞修复方案中。

用户应尽快应用微软本次发布的补丁。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

如下是本书相关讲解:

https://www.zerodayinitiative.com/blog/2021/9/14/the-september-2021-security-update-review-kpgpb

https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-remaining-windows-printnightmare-vulnerabilities/

https://therecord.media/microsoft-patches-office-zero-day-in-todays-patch-tuesday/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~