您知道周二補(bǔ)丁日嗎?電腦愛好者或安全行業(yè)人士也許都知道,所謂“周二補(bǔ)丁日(Patch Tuesday)”是指微軟在每個(gè)月的第二個(gè)星期二定期發(fā)布系統(tǒng)更新補(bǔ)丁的日子。每個(gè)月的第二個(gè)周二更新是微軟安全更新的傳統(tǒng)做法,當(dāng)然除此之外,微軟還會(huì)根據(jù)具體情況不定期發(fā)布緊急補(bǔ)丁。剛剛過去的10月12日正是周二補(bǔ)丁日,讓我們看看近期微軟和Adobe都修復(fù)了哪些重要漏洞。
微軟共修復(fù)了71個(gè)漏洞
微軟在10月12日的周二補(bǔ)丁日共修復(fù)了 71個(gè)安全漏洞。其中,最重要的是Win32k驅(qū)動(dòng)中發(fā)現(xiàn)的特權(quán)提升漏洞,經(jīng)分析該漏洞存在致命風(fēng)險(xiǎn)。據(jù)了解,該漏洞已經(jīng)被某APT組織用于攻擊各種公司和機(jī)構(gòu)。至少從今年8月開始,攻擊活動(dòng)就一直在進(jìn)行。
這個(gè)有問題的零日漏洞是CVE-2021-40449,它是一種UaF漏洞。該漏洞在Win32k內(nèi)核驅(qū)動(dòng)程序中被發(fā)現(xiàn),如果它被成功利用,便可以提升權(quán)限。但是,它不能被遠(yuǎn)程利用??ò退够谡{(diào)查今年8月和9月Windows 服務(wù)器上發(fā)現(xiàn)的各種攻擊案例時(shí),發(fā)現(xiàn)并報(bào)告了該漏洞。 但它已被黑客組織使用。
這個(gè)黑客組織是一個(gè)名為“Iron Husky”的組織,該組織至少自 2012 年以來一直活躍。該組織利用“零日攻擊”主要針對(duì)國防、IT公司和通訊領(lǐng)域等,卡巴斯基將這類威脅稱為“神秘蝸牛(Mystery Snail)”。
卡巴斯基的安全研究員鮑里斯?拉林(Boris Larin)將該零日漏洞描述為“易于利用,且可以讓攻擊者獲得對(duì)裝備的完全控制權(quán)限。如果能夠成功利用此漏洞,攻擊者幾乎可以做任何事情。既可以竊取身份認(rèn)證的憑據(jù),也可以攻擊同一網(wǎng)絡(luò)上的其他設(shè)備,還能確保攻擊的持續(xù)性?!?/p>
值得慶幸的是,該漏洞的利用代碼并未公開,它僅被黑客組織秘密操作使用。但是,由于不知道誰會(huì)成為Iron Husky的攻擊對(duì)象(即任何人都有可能成為Iron Husky攻擊對(duì)象),因此建議緊急修補(bǔ)此漏洞。該漏洞存在于 Win32k 內(nèi)核驅(qū)動(dòng)程序中。它是操作系統(tǒng)最重要的部分之一。除了打補(bǔ)丁之外,沒有其它針對(duì)此漏洞的修復(fù)程序。
安全公司Breach Quest的CTO杰克?威廉姆斯(Jake Williams)解釋說:“雖然此次披露的零日漏洞不能被遠(yuǎn)程利用,但也絕對(duì)不能被忽視。攻擊者們不會(huì)因?yàn)闊o法進(jìn)行遠(yuǎn)程攻擊而放棄。他們可以繞過端點(diǎn)控制并通過網(wǎng)絡(luò)釣魚攻擊或利用其它漏洞來執(zhí)行惡意操作。遠(yuǎn)程攻擊的可能與不可能不再是判斷攻擊難度的因素。”
此外,他還強(qiáng)調(diào)說,“漏洞利用代碼尚未公開的事實(shí)也不是令人放心的因素。如果原來的攻擊者利用該漏洞,其他攻擊者也會(huì)開始利用。我曾多次遇到過,先進(jìn)的攻擊工具、技術(shù)訣竅、戰(zhàn)略戰(zhàn)術(shù)或代碼被傳遞給其他網(wǎng)絡(luò)犯罪組織,并由具有更高攻擊技能的APT組織升級(jí)。這是一個(gè)永遠(yuǎn)存在的趨勢(shì),什么時(shí)候普及,只是時(shí)間問題。”
值得注意的是,在此次定期補(bǔ)丁發(fā)布前微軟就披露并修復(fù)了3個(gè)零日漏洞。與上述零日漏洞不同,這3個(gè)漏洞目前尚未在實(shí)際攻擊中被利用。它們分別是:
1)CVE-2021-40469:在Windows DNS服務(wù)器中發(fā)現(xiàn)的遠(yuǎn)程代碼執(zhí)行漏洞。
2)CVE-2021-41335:在Windows內(nèi)核發(fā)現(xiàn)的特權(quán)提升漏洞。
3)CVE-2021-41338:在Windows App Container防火墻中發(fā)現(xiàn)的安全功能繞過漏洞。
微軟認(rèn)為,這3個(gè)漏洞雖然被分類為“零日漏洞”,但實(shí)際應(yīng)用于攻擊的概率較低。
此外,美國國家安全局(NSA)認(rèn)為此次修復(fù)的漏洞中一個(gè)值得注意的漏洞是CVE-2021-26427。這是在Microsoft Exchange服務(wù)器中發(fā)現(xiàn)的新漏洞。Exchange服務(wù)器是今年最熱門的IT基礎(chǔ)設(shè)施組件之一,幾乎全年都在不斷受到黑客的攻擊。值得注意的是,攻擊者要想利用該漏洞必須和受害者處于同一個(gè)本地網(wǎng)絡(luò)中。
今年夏天持續(xù)出現(xiàn)問題的Print Spooler組件中再次發(fā)現(xiàn)了新漏洞——CVE-2021-36970。雖然這不是一個(gè)嚴(yán)重的漏洞,但它被標(biāo)記為“更具可利用性”。這是一個(gè)可以進(jìn)行一種欺騙攻擊的漏洞,就像今年發(fā)現(xiàn)的另一個(gè)打印后臺(tái)處理程序漏洞“打印噩夢(mèng)(Print Nightmare)”一樣,它很可能被主動(dòng)利用而造成傷害。安全研究員ollypwn在推特上發(fā)帖指出:欺騙性漏洞攻擊者可以冒充或被識(shí)別為另一個(gè)用戶,并通過濫用Spooler服務(wù)將任意文件上傳至其它服務(wù)器。
其它值得注意的漏洞還包括影響Windows Hyper-V(CVE-2021-38672和CVE-2021-40461)、SharePoint服務(wù)器(CVE-2021-40487和CVE-2021-41344)和Microsoft Word(CVE-2021-40486)的遠(yuǎn)程代碼執(zhí)行漏洞,以及富文本編輯控制(CVE-2021-40454)的信息泄露漏洞等。
Adobe共修補(bǔ)了10個(gè)漏洞
專門從事圖形解決方案的Adobe在近期常規(guī)補(bǔ)丁日修補(bǔ)了10個(gè)安全漏洞,其中4個(gè)漏洞被歸類為致命風(fēng)險(xiǎn)。受這些漏洞影響的Adobe產(chǎn)品包括Acrobat、Reader、Connect、Commerce、Ops-cli和 Campaign Standard等。但是,Adobe方面認(rèn)為這些漏洞被實(shí)際利用的可能性很低。
“
首先,修補(bǔ)了Acrobat和Reader(適用于Windows和Mac OS)中的四個(gè)漏洞,它們分別是:
1)CVE-2021-40728:任意代碼執(zhí)行漏洞
2)CVE-2021-40731:任意代碼執(zhí)行漏洞
3)CVE-2021-40729:特權(quán)提升漏洞
4)CVE-2021-40720:特權(quán)提升漏洞
其中,1號(hào)和2號(hào)漏洞分別因?yàn)闀?huì)出現(xiàn)UaF和越界(Out of Bounds)錯(cuò)誤,而被歸類為具有致命風(fēng)險(xiǎn)的漏洞。3號(hào)和4號(hào)漏洞被歸類為具有中等風(fēng)險(xiǎn)的漏洞。
其次,在Campaign Standard 產(chǎn)品(適用于Windows和Linux系統(tǒng))中發(fā)現(xiàn)并修補(bǔ)了一個(gè)跨站腳本攻擊(XSS)漏洞。據(jù)分析,該漏洞也具有致命風(fēng)險(xiǎn)。
再次,在Connect產(chǎn)品中也發(fā)現(xiàn)并修補(bǔ)了一個(gè)XSS漏洞,但經(jīng)分析,該漏洞在本產(chǎn)品中并不致命。在 Connect 中還發(fā)現(xiàn)的另一個(gè)漏洞——代碼執(zhí)行漏洞,具有致命風(fēng)險(xiǎn)。這是一個(gè)與不可靠數(shù)據(jù)的反序列化相關(guān)的漏洞。 此外,與數(shù)據(jù)反序列化相關(guān)的漏洞還出現(xiàn)在Adobe Ops-cli中。據(jù)悉,Adobe的Ops-cli是一個(gè)基于 Python 的開源rapper,只在Adobe內(nèi)部使用。
最后,在Adobe Commerce產(chǎn)品中也發(fā)現(xiàn)了一個(gè)XSS的漏洞。雖然該漏洞是一個(gè)”存儲(chǔ)型XSS(Stored XSS)“漏洞,但它最終被歸類為高危風(fēng)險(xiǎn)漏洞。Adobe警告說,該漏洞可能是一個(gè)非常危險(xiǎn)的漏洞,因?yàn)樗梢栽诓唤?jīng)過身份驗(yàn)證程序的情況下被利用。
在此次Adobe修補(bǔ)的10個(gè)漏洞中,目前尚未發(fā)現(xiàn)被攻擊者利用的跡象。即使一些漏洞存在致命風(fēng)險(xiǎn),但Adobe分析認(rèn)為,這些漏洞實(shí)際利用的可能性很低。盡管如此,對(duì)于擁有Acrobat Reader產(chǎn)品的用戶來說,由于該產(chǎn)品用戶數(shù)量較多,很可能會(huì)引起攻擊者的關(guān)注,因此及時(shí)修復(fù)補(bǔ)丁才會(huì)比較安全。
結(jié)語
研究表明,操作系統(tǒng)和應(yīng)用軟件的漏洞,經(jīng)常會(huì)成為黑客攻擊的突破口。解決漏洞問題最直接最有效的辦法就是打補(bǔ)丁。但打補(bǔ)丁是比較被動(dòng)的方式,對(duì)于企業(yè)來說,收集、測(cè)試、備份、分發(fā)等相關(guān)的打補(bǔ)丁流程仍然是一個(gè)頗為繁瑣的過程,甚至有的補(bǔ)丁本身就有可能成為新的漏洞。
為解決補(bǔ)丁管理上的混亂,首先需要建立一個(gè)覆蓋整個(gè)網(wǎng)絡(luò)的自動(dòng)化補(bǔ)丁數(shù)據(jù)庫;其次是部署一個(gè)分發(fā)系統(tǒng),提高補(bǔ)丁分發(fā)效率。另外,不僅是補(bǔ)丁管理程序,整個(gè)漏洞管理系統(tǒng)還需要與企業(yè)的防入侵系統(tǒng)、防病毒系統(tǒng)等其他安全系統(tǒng)集成,從而構(gòu)筑一條完整的風(fēng)險(xiǎn)管理防線。
由此可見,無論對(duì)于政府部門、企業(yè)組織,還是個(gè)人來說,及時(shí)更新程序、打補(bǔ)丁修復(fù)漏洞是保障我們網(wǎng)絡(luò)安全的重要舉措之一。要養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣就讓我們從及時(shí)打補(bǔ)丁開始。今天您的程序更新了嗎?