微軟在本周二(10/12)的Patch Tuesday修補了74個安全漏洞,其中有3個屬於重大(Critical)等級,另有4個為零時差漏洞,當中涉及Win32k權限擴張的CVE-2021-40449漏洞已遭駭客開採。此外,微軟本月已先行修補了7個有關Microsoft Edge的安全漏洞,意謂著10月的漏洞修補總數為81個。

發現CVE-2021-40449漏洞的為卡巴斯基(Kaspersky)。卡巴斯基表示,他們在今年8、9月間,偵測到一個鎖定微軟Windows伺服器的攻擊程式,仔細研究之後才發現這是一個零時差漏洞,並立即通知了微軟。

CVE-2021-40449為一Win32k核心驅動程式的釋放後使用(use-after-free)漏洞,成功的開採將允許駭客讀取及寫入核心記憶體。研究人員發現,開採該漏洞的攻擊程式已出現許多變種,並廣泛地被應用在間諜活動中,受害者包括IT公司、軍方/國防承包商,以及外交機構等。此外,該漏洞影響的平臺甚廣,從Windows Vista、Windows 7、Microsoft Windows Server 2008、Windows 10到Windows Server 2019等都潛藏此一安全風險。

該攻擊程式所蒐集的資訊包括電腦名稱、Windows產品名稱、IP位址、登入的用戶名稱及活動名稱等。研究人員亦發現,駭客重覆使用了一個曾被中國駭客集團IronHusky使用的命令暨控制伺服器位址,IronHusky的間諜活動始於2012年,只是一直到2017年才被偵測到。

其它3個尚未被開採的零時差漏洞,則有涉及Windows DNS Server遠端程式攻擊漏洞的CVE-2021-40469、Windows Kernel權限擴張漏洞CVE-2021-41335,以及Windows AppContainer 防火牆規則繞過漏洞CVE-2021-41338

3個被微軟列為重大等級的漏洞為CVE-2021-40486CVE-2021-38672CVE-2021-40461。當中的CVE-2021-40486是Word的遠端程式攻擊漏洞,當使用者打開惡意的Word文件時就可能觸發攻擊,而Preview Pane亦被列為該漏洞的攻擊表面。揭露此一漏洞的Zero Day Initiative(ZDI)則指出,當結合另一個權限擴張漏洞時,駭客將有機會取得系統的控制權。

至於CVE-2021-38672CVE-2021-40461則皆為Windows Hyper的遠端程式攻擊漏洞,當客座VM的記憶體分配錯誤時就會觸發該漏洞,成功的開採將允許惡意的客座VM讀取主機的核心記憶體。

本月ZDI還特別點名了CVE-2021-40454 ,它是一個豐富文字編輯控制(Rich Text Edit Control)的資訊揭露漏洞,這並非ZDI平常會關注的漏洞型態,不過,它的危險性在於成功的開採,將允許駭客恢復記憶體中的明文密碼。


熱門新聞

Advertisement