黑客利用Microsoft 0 day漏洞欺騙用戶打開惡意軟件

微軟已經解決了一個0day漏洞，該漏洞被廣泛利用，以虛假應用程序的形式提供Emotet、Trickbot等。

該補丁是這家計算機巨頭12月Patch Tuesda更新的一部分，其中包括針對安全漏洞的總共67個修復程序。這些補丁涵蓋了微軟產品組合的前沿，影響了ASP.NET Core和Visual Studio、Azure Bot Framework SDK、Internet存儲名稱服務、物聯網Defender、Edge(Chromium-based)、Microsoft Office和Office組件、SharePoint Server、PowerShell、遠程桌面客戶端、Windows Hyper-V、Windows移動設備管理、Windows遠程訪問連接管理器、TCP/IP和Windows更新堆棧。

解決的漏洞中有7個被評為嚴重，6個之前被披露為0day漏洞，60個被評為“重要”。

此次更新使微軟今年修補的CVE總數達到887個，與較為繁忙的2020年相比，數量下降了29%。

 在野外利用的0day漏洞

0day漏洞(CVE-2021-43890)是Windows AppX安裝程序中的一個重要級別的欺騙漏洞，它是一種用于Windows 10應用程序旁加載的實用程序，可在App Store上獲取。

Immersive Labs網絡威脅研究主管Kevin Breen解釋說，該漏洞“允許攻擊者創建惡意軟件文件，然后將其修改為看起來像合法的應用程序，并已被用于傳播今年卷土重來的Emotet惡意軟件。”

布林警告說，“打了補丁之后意味著軟件包無法再偽裝，但它不會阻止攻擊者發送鏈接或附件到這些文件。”

根據Tenable的研究工程師Satnam Narang的說法，在今天修復之前，該漏洞出現在與Emotet、TrickBot和Bazaloader相關的多次攻擊中。

“要利用此漏洞，攻擊者需要說服用戶打開惡意附件，這將通過網絡釣魚攻擊進行，”他通過電子郵件解釋道。“一旦被利用，該漏洞就會授予攻擊者更高的權限，尤其是當受害者的帳戶在系統上具有管理權限時。”

除此之外，Microsoft還提供了一些變通方法來防止此漏洞被利用。

 其他公開的Microsoft漏洞

值得注意的是，微軟還修補了CVE-2021-43883，這是Windows Installer中的一個特權提升漏洞，該漏洞已被傳播，據報道，攻擊者會主動將其作為攻擊目標，盡管微軟表示沒有發現任何漏洞。

“這似乎是對CVE-2021-41379補丁繞過的修復，這是Windows Installer中的另一個特權提升漏洞，據報道已于11月修復，”Narang說。“然而，研究人員發現修復并不完整，并于上月底公布了一份概念驗證。”

Breen指出，這種漏洞受到希望在網絡中橫向移動的攻擊者的高度追捧。

“在獲得最初的立足點后，獲得管理員級別的訪問權限可以讓攻擊者禁用安全工具并部署其他惡意軟件或Mimikatz等工具，”他說。“去年幾乎所有的勒索軟件攻擊都采用了某種形式的特權升級作為發起勒索軟件之前的攻擊的一個重要部分。”

其他四個漏洞被列為“公開已知”但未被利用，所有漏洞都被評為重要，并允許權限提升：

• CVE-2021-43240，一個NTFS集短名稱
• CVE-2021-43893，一個Windows加密文件系統(EFS)
• CVE-2021-43880，Windows移動設備管理
• CVE-2021-41333，Windows打印后臺處理程序

該更新未解決CVE-2021-24084，這是11月下旬披露的一個未修補的Windows安全漏洞，該漏洞可能允許信息泄露和本地權限提升(LPE_。

 12月嚴重的Microsoft安全漏洞

1.iSNS服務器中的CVE-2021-43215

要修復的第一個嚴重漏洞(CVE-2021-43215)允許在Internet存儲名稱服務(iSNS)服務器上進行遠程代碼執行(RCE)，從而能夠自動發現和管理TCP/IP存儲網絡上的iSCSI設備。它在漏洞嚴重性等級上的評分為9.8分(滿分10分)。

根據微軟的公告，如果攻擊者向受影響的服務器發送特制的請求，則可以利用該漏洞。

“換句話說，如果您在企業中運行存儲區域網絡(SAN)，您要么擁有一臺iSNS服務器，要么單獨配置每個邏輯接口，”趨勢科技零日計劃研究員達斯汀·柴爾茲(Dustin Childs)在周二的博客中說，“如果您有SAN，請優先測試和部署此補丁。”

Breen同意，如果組織運營iSNS服務，那么快速打補丁是至關重要的。

“請記住，這不是默認組件，因此在將其添加到列表之前請先檢查一下，”他通過電子郵件說。但是，“由于該協議用于促進網絡上的數據存儲，因此對于希望破壞組織從勒索軟件等攻擊中恢復能力的攻擊者來說，它將成為高優先級目標。從網絡的角度來看，這些服務通常也是可信的——這是攻擊者選擇此類目標的另一個原因。”

2.Visual Studio Code WSL 擴展中的 CVE-2021-43907

另一個9.8分的bug是CVE-2021-43907，這是Visual Studio Code WSL擴展中的一個RCE漏洞，微軟表示可以被未經身份驗證的攻擊者利用，無需用戶交互。它沒有提供進一步的細節。

Childs解釋說：“這個受影響的組件讓用戶可以使用適用于Linux的Windows子系統(WSL)作為Visual Studio Code的全時開發環境。”“它允許您在基于Linux的環境中進行開發，使用特定于Linux的工具鏈和實用程序，并在Windows中運行和調試基于Linux的應用程序。DevOps社區中的許多人都在使用這種跨平臺功能。”

3.CVE-2021-43899 – Microsoft 4K 無線顯示適配器

第三個也是最后一個CVSS評分9.8的bug是CVE-2021-43899，如果攻擊者在與Microsoft 4K顯示適配器相同的網絡上立足，它還允許在受影響設備上進行RCE。根據微軟的說法，漏洞利用就是向受影響的設備發送特制的數據包。

“修補這一漏洞絕非易事，”Childs說。“為了受到保護，用戶需要從Microsoft Store將Microsoft無線顯示適配器應用程序安裝到與Microsoft 4K無線顯示適配器連接的系統上。只有這樣它們才能使用應用程序的“更新和安全”部分下載最新固件以緩解此錯誤。”

4.Microsoft Office中的CVE-2021-43905

另一個關鍵的RCE漏洞(CVE-2021-43905)存在于Microsoft Office應用程序中，CVSS評分9.6，微軟將其標記為“很有可能被利用”。

“咨詢中很少透露什么是直接風險——它只是稱受影響的產品為'Office App'，”Breen指出。“如果快速修補不可用，這可能會使安全團隊難以確定優先級或采取緩解措施-特別是當安全團隊已經與其他關鍵補丁捆綁在一起時。”

然而，Automox的研究員Aleks Haugom表示，這應該是修補的優先事項。

“作為一個低復雜性的漏洞，攻擊者可以預期重復的結果，”他在周二的分析中說。“雖然微軟沒有確切披露攻擊者需要哪些用戶交互才能成功，但他們已經確認預覽窗格不是攻擊者的載體。鑒于此威脅可能會影響超出安全機構管理的安全范圍的資源，因此建議立即采取補救措施。”

5.Microsoft Defender for IoT中的CVE-2021-42310

Defender for IoT中發現的10個bug之一，此漏洞(CVE-2021-42310)允許RCE，CVSS評分8.1。

Childs解釋說：“密碼重置請求由一個簽名的JSON文檔、一個簽名證書和一個用于簽署簽名證書的中間證書組成。”“中間證書應該鏈接到設備內置的根CA證書。由于此過程中存在漏洞，攻擊者可以重置其他人的密碼。修補這些漏洞需要系統管理員對設備本身進行操作。”

平臺中的其他9個漏洞包括7個RCE漏洞、1個權限提升漏洞和1個數據泄露漏洞，均被評為“重要”。

6.Windows加密文件系統(EFS)中的CVE-2021-43217

此漏洞(CVE-2021-43217)允許RCE，CVSS評分8.1。

“攻擊者可能會導致緩沖區溢出，從而導致未經身份驗證的非沙盒代碼執行，即使EFS服務當時沒有運行，”Childs解釋說。“如果EFS服務沒有運行，EFS接口可以觸發它的啟動。”

Jay Goodman在Automox的帖子中指出，它可以與公開披露的EFS中的特權提升漏洞相關聯，因此構成了特殊的威脅。

“雖然這些漏洞中的任何一個都構成需要快速處理的有影響力的披露，但在一個近乎普遍的服務中，這兩個漏洞的結合對數據的安全和保護至關重要，從而形成了一種獨特的情況，”他說。“攻擊可以使用RCE與特權提升的組合，在具有完整系統權限的目標系統上快速部署、提升和執行代碼。這讓攻擊者可以輕松地完全控制系統，并在網絡內創建一個橫向傳播的操作基礎。”

換句話說：這是一對關鍵的漏洞，需要盡快解決以最大限度地降低組織風險。

7.遠程桌面客戶端中的CVE-2021-43233

該缺陷(CVE-2021-43233)允許RCE，CVSS評分7，并被列為“很有可能被利用”。

“這一次……可能需要社會工程或網絡釣魚組件才能成功，”布林解釋說。“11月的報告中修補了一個類似的漏洞CVE-2021-38666。雖然該漏洞也被標記為“很有可能被利用”，但幸運的是，沒有關于概念驗證代碼或它在野外被利用的報告，這表明量身定制的基于風險的方法來確定補丁的優先級是多么重要。”

Automox研究員Gina Geisel強調了該漏洞利用的高度復雜性。

“為了利用這個漏洞，攻擊者需要控制服務器，然后必須說服用戶連接到此服務器，例如，通過社會工程、DNS中毒或使用中間人（MITM）技術，”她說。“攻擊者還可能破壞合法服務器，在其上托管惡意代碼，并等待用戶連接。”

 12月Microsoft其他值得注意的漏洞

Childs還將Microsoft SharePoint Server中的RCE漏洞CVE-2021-42309標記為需要優先處理的漏洞。它允許攻擊者繞過對運行任意服務器端Web控件的限制。

“該漏洞允許用戶在服務帳戶中提升和執行代碼，”他解釋說。“攻擊者需要在SharePoint網站上擁有‘管理列表’權限，但默認情況下，任何授權用戶都可以在他們擁有完全權限的情況下創建自己的新網站。”

他說這個漏洞與之前修補的CVE-2021-28474類似，只是不安全的控件“被‘走私’到了一個允許控件的屬性中”。

研究人員補充說，應該優先考慮操作系統漏洞。

Ivanti產品管理副總裁Chris Goettl告訴Threatpost：“披露的內容包括打印后臺處理程序的功能示例、NTFS和Windows安裝程序漏洞的概念驗證，因此本月應當對操作系統更新進行緊急處理。”

參考及來源：

https://threatpost.com/exploited-microsoft-zero-day-spoofing-malware/177045/