微软已经解决了一个0day漏洞，该漏洞被广泛利用，以虚假应用程序的形式提供Emotet、Trickbot等。

该补丁是这家计算机巨头12月Patch Tuesda更新的一部分，其中包括针对安全漏洞的总共67个修复程序。这些补丁涵盖了微软产品组合的前沿，影响了ASP.NET Core和Visual Studio、Azure Bot Framework SDK、Internet存储名称服务、物联网Defender、Edge（Chromium-based）、Microsoft Office和Office组件、SharePoint Server、PowerShell、远程桌面客户端、Windows Hyper-V、Windows移动设备管理、Windows远程访问连接管理器、TCP/IP和Windows更新堆栈。

解决的漏洞中有7个被评为严重，6个之前被披露为0day漏洞，60个被评为“重要”。

此次更新使微软今年修补的CVE总数达到887个，与较为繁忙的2020年相比，数量下降了29%。

在野外利用的0day漏洞

0day漏洞（CVE-2021-43890）是Windows AppX安装程序中的一个重要级别的欺骗漏洞，它是一种用于Windows 10应用程序旁加载的实用程序，可在App Store上获取。

Immersive Labs网络威胁研究主管Kevin Breen解释说，该漏洞“允许攻击者创建恶意软件文件，然后将其修改为看起来像合法的应用程序，并已被用于传播今年卷土重来的Emotet恶意软件。”

布林警告说，“打了补丁之后意味着软件包无法再伪装，但它不会阻止攻击者发送链接或附件到这些文件。”

根据Tenable的研究工程师Satnam Narang的说法，在今天修复之前，该漏洞出现在与Emotet、TrickBot和Bazaloader相关的多次攻击中。

“要利用此漏洞，攻击者需要说服用户打开恶意附件，这将通过网络钓鱼攻击进行，”他通过电子邮件解释道。“一旦被利用，该漏洞就会授予攻击者更高的权限，尤其是当受害者的帐户在系统上具有管理权限时。”

除此之外，Microsoft还提供了一些变通方法来防止此漏洞被利用。

其他公开的Microsoft漏洞

值得注意的是，微软还修补了CVE-2021-43883，这是Windows Installer中的一个特权提升漏洞，该漏洞已被传播，据报道，攻击者会主动将其作为攻击目标，尽管微软表示没有发现任何漏洞。

“这似乎是对CVE-2021-41379补丁绕过的修复，这是Windows Installer中的另一个特权提升漏洞，据报道已于11月修复，”Narang说。“然而，研究人员发现修复并不完整，并于上月底公布了一份概念验证。”

Breen指出，这种漏洞受到希望在网络中横向移动的攻击者的高度追捧。

“在获得最初的立足点后，获得管理员级别的访问权限可以让攻击者禁用安全工具并部署其他恶意软件或Mimikatz等工具，”他说。“去年几乎所有的勒索软件攻击都采用了某种形式的特权升级作为发起勒索软件之前的攻击的一个重要部分。”

其他四个漏洞被列为“公开已知”但未被利用，所有漏洞都被评为重要，并允许权限提升：

· CVE-2021-43240，一个NTFS集短名称

· CVE-2021-43893，一个Windows加密文件系统（EFS）

· CVE-2021-43880，Windows移动设备管理

· CVE-2021-41333，Windows打印后台处理程序

该更新未解决CVE-2021-24084，这是11月下旬披露的一个未修补的Windows安全漏洞，该漏洞可能允许信息泄露和本地权限提升（LPE）。

12月严重的Microsoft安全漏洞

1.iSNS服务器中的CVE-2021-43215

要修复的第一个严重漏洞（CVE-2021-43215）允许在Internet存储名称服务（iSNS）服务器上进行远程代码执行（RCE），从而能够自动发现和管理TCP/IP存储网络上的iSCSI设备。它在漏洞严重性等级上的评分为9.8分（满分10分）。

根据微软的公告，如果攻击者向受影响的服务器发送特制的请求，则可以利用该漏洞。

“换句话说，如果您在企业中运行存储区域网络（SAN），您要么拥有一台iSNS服务器，要么单独配置每个逻辑接口，”趋势科技零日计划研究员达斯汀·柴尔兹（Dustin Childs）在周二的博客中说，“如果您有SAN，请优先测试和部署此补丁。”

Breen同意，如果组织运营iSNS服务，那么快速打补丁是至关重要的。

“请记住，这不是默认组件，因此在将其添加到列表之前请先检查一下，”他通过电子邮件说。但是，“由于该协议用于促进网络上的数据存储，因此对于希望破坏组织从勒索软件等攻击中恢复能力的攻击者来说，它将成为高优先级目标。从网络的角度来看，这些服务通常也是可信的——这是攻击者选择此类目标的另一个原因。”

2.Visual Studio Code WSL 扩展中的 CVE-2021-43907

另一个9.8分的bug是CVE-2021-43907，这是Visual Studio Code WSL扩展中的一个RCE漏洞，微软表示可以被未经身份验证的攻击者利用，无需用户交互。它没有提供进一步的细节。

Childs解释说：“这个受影响的组件让用户可以使用适用于Linux的Windows子系统（WSL）作为Visual Studio Code的全时开发环境。”“它允许您在基于Linux的环境中进行开发，使用特定于Linux的工具链和实用程序，并在Windows中运行和调试基于Linux的应用程序。DevOps社区中的许多人都在使用这种跨平台功能。”

3.CVE-2021-43899 – Microsoft 4K 无线显示适配器

第三个也是最后一个CVSS评分9.8的bug是CVE-2021-43899，如果攻击者在与Microsoft 4K显示适配器相同的网络上立足，它还允许在受影响设备上进行RCE。根据微软的说法，漏洞利用就是向受影响的设备发送特制的数据包。

“修补这一漏洞绝非易事，”Childs说。“为了受到保护，用户需要从Microsoft Store将Microsoft无线显示适配器应用程序安装到与Microsoft 4K无线显示适配器连接的系统上。只有这样它们才能使用应用程序的“更新和安全”部分下载最新固件以缓解此错误。”

4.Microsoft Office中的CVE-2021-43905

另一个关键的RCE漏洞（CVE-2021-43905）存在于Microsoft Office应用程序中，CVSS评分9.6，微软将其标记为“很有可能被利用”。

“咨询中很少透露什么是直接风险——它只是称受影响的产品为'Office App'，”Breen指出。“如果快速修补不可用，这可能会使安全团队难以确定优先级或采取缓解措施-特别是当安全团队已经与其他关键补丁捆绑在一起时。”

然而，Automox的研究员Aleks Haugom表示，这应该是修补的优先事项。

“作为一个低复杂性的漏洞，攻击者可以预期重复的结果，”他在周二的分析中说。“虽然微软没有确切披露攻击者需要哪些用户交互才能成功，但他们已经确认预览窗格不是攻击者的载体。鉴于此威胁可能会影响超出安全机构管理的安全范围的资源，因此建议立即采取补救措施。”

5.Microsoft Defender for IoT中的CVE-2021-42310

Defender for IoT中发现的10个bug之一，此漏洞（CVE-2021-42310）允许RCE，CVSS评分8.1。

Childs解释说：“密码重置请求由一个签名的JSON文档、一个签名证书和一个用于签署签名证书的中间证书组成。”“中间证书应该链接到设备内置的根CA证书。由于此过程中存在漏洞，攻击者可以重置其他人的密码。修补这些漏洞需要系统管理员对设备本身进行操作。”

平台中的其他9个漏洞包括7个RCE漏洞、1个权限提升漏洞和1个数据泄露漏洞，均被评为“重要”。

6.Windows加密文件系统（EFS）中的CVE-2021-43217

此漏洞（CVE-2021-43217）允许RCE，CVSS评分8.1。

“攻击者可能会导致缓冲区溢出，从而导致未经身份验证的非沙盒代码执行，即使EFS服务当时没有运行，”Childs解释说。“如果EFS服务没有运行，EFS接口可以触发它的启动。”

Jay Goodman在Automox的帖子中指出，它可以与公开披露的EFS中的特权提升漏洞相关联，因此构成了特殊的威胁。

“虽然这些漏洞中的任何一个都构成需要快速处理的有影响力的披露，但在一个近乎普遍的服务中，这两个漏洞的结合对数据的安全和保护至关重要，从而形成了一种独特的情况，”他说。“攻击可以使用RCE与特权提升的组合，在具有完整系统权限的目标系统上快速部署、提升和执行代码。这让攻击者可以轻松地完全控制系统，并在网络内创建一个横向传播的操作基础。”

换句话说：这是一对关键的漏洞，需要尽快解决以最大限度地降低组织风险。

7.远程桌面客户端中的CVE-2021-43233

该缺陷（CVE-2021-43233）允许RCE，CVSS评分7，并被列为“很有可能被利用”。

“这一次……可能需要社会工程或网络钓鱼组件才能成功，”布林解释说。“11月的报告中修补了一个类似的漏洞CVE-2021-38666。虽然该漏洞也被标记为“很有可能被利用”，但幸运的是，没有关于概念验证代码或它在野外被利用的报告，这表明量身定制的基于风险的方法来确定补丁的优先级是多么重要。”

Automox研究员Gina Geisel强调了该漏洞利用的高度复杂性。

“为了利用这个漏洞，攻击者需要控制服务器，然后必须说服用户连接到此服务器，例如，通过社会工程、DNS中毒或使用中间人（MITM）技术，”她说。“攻击者还可能破坏合法服务器，在其上托管恶意代码，并等待用户连接。”

12月Microsoft其他值得注意的漏洞

Childs还将Microsoft SharePoint Server中的RCE漏洞CVE-2021-42309标记为需要优先处理的漏洞。它允许攻击者绕过对运行任意服务器端Web控件的限制。

“该漏洞允许用户在服务帐户中提升和执行代码，”他解释说。“攻击者需要在SharePoint网站上拥有‘管理列表’权限，但默认情况下，任何授权用户都可以在他们拥有完全权限的情况下创建自己的新网站。”

他说这个漏洞与之前修补的CVE-2021-28474类似，只是不安全的控件“被‘走私’到了一个允许控件的属性中”。

研究人员补充说，应该优先考虑操作系统漏洞。

Ivanti产品管理副总裁Chris Goettl告诉Threatpost：“披露的内容包括打印后台处理程序的功能示例、NTFS和Windows安装程序漏洞的概念验证，因此本月应当对操作系统更新进行紧急处理。”

本文翻译自：https://threatpost.com/exploited-microsoft-zero-day-spoofing-malware/177045/如若转载，请注明原文地址