最近，明朝萬達(dá)安院實驗室于2021年發(fā)布了第10期《安全通告》。

該份報告收錄了今年10月最新的網(wǎng)絡(luò)安全前沿新聞和最新漏洞追蹤，其中重點內(nèi)容包括：

網(wǎng)絡(luò)安全前沿新聞

? Apple 發(fā)布緊急更新修復(fù)iOS 和iPadOS 中內(nèi)存損壞 0day

Apple 在 10 月 11 日發(fā)布緊急更新，修復(fù)了 iOS 15.0.2 和 iPadOS 15.0.2 中的內(nèi)存損壞 0day。該漏洞追蹤為 CVE-2021-30883，是 IOMobileFrameBuffer 中的一個內(nèi)存損壞漏洞，可用來在目標(biāo)設(shè)備執(zhí)行命令。Apple 在安全公告中稱該漏洞已在針對手機和 iPad 的攻擊中被廣泛利用。此外，在漏洞公開不久，研究人員Saar Amar 就發(fā)布了關(guān)于該漏洞的技術(shù)文章和利用漏洞的 PoC。

? Windows 11 與非 ASCII 字符的應(yīng)用存在兼容性問題

微軟近日發(fā)布的 Windows 11 已知問題文檔顯示，Win11 與非 ASCII 字符的應(yīng)用存在兼容性問題。微軟稱，非 ASCII 字符的應(yīng)用可能無法在受影響的系統(tǒng)上正常運行，并可能導(dǎo)致其他問題，包括藍(lán)屏錯誤等。更糟糕的是，具有非 ASCII 字符的注冊表項可能也無法修復(fù)。微軟正深入調(diào)查該問題，并將在未來提供解決方案。如果用戶的注冊表中有使用非 ASCII 字符的應(yīng)用程序，微軟將不會向用戶推送 Windows 11 升級。

? McAfee 發(fā)布 2021 年第二季度威脅態(tài)勢的分析報告

McAfee 在 10 月 4 日發(fā)布了 2021 年第二季度威脅態(tài)勢的分析報告。報告指出，在2021 年 Q2，勒索軟件 REvil/Sodinokibi 的占比高達(dá) 73%，而 DarkSide 的攻擊目標(biāo)從石油、天然氣和化工行業(yè)擴展到了法律服務(wù)、批發(fā)和制造行業(yè)。遭到勒索攻擊最多的行業(yè)為政府機構(gòu)，其次是電信、能源和媒體與通信行業(yè)。與 2021 年 Q1 相比，垃圾郵件的數(shù)量增幅最大，為 250%，其次是惡意腳本（125%）和惡意軟件（47%）。

? Check Point 發(fā)布 2021 年全球威脅態(tài)勢的分析報告

Check Point 發(fā)布了 2021 年全球威脅態(tài)勢的分析報告。在全球范圍內(nèi)，與 2020 年相比，2021 年組織每周遭到的攻擊數(shù)量增加了 40%，該數(shù)值從 2020 年 3 月開始顯著增加，到 2021 年 9 月達(dá)到峰值，全球每個組織平均每周遭到超過 870 次攻擊，是 2020 年 3 月的兩倍多。遭到攻擊最多的仍然是教育和研究行業(yè)，每個組織每周平均遭到 1468 次攻擊(比 2020 年增加 60%)，其次是政府和軍工行業(yè)為 1082 次(增加 40%)和醫(yī)療行業(yè)為 752 次(增加 55%)。

? 研究團隊發(fā)現(xiàn)Linux 惡意挖礦軟件的新變體瞄準(zhǔn)華為云

TrendMicro 的研究人員發(fā)現(xiàn)以前用于針對 Docker 容器的 Linux 惡意挖礦軟件的新變體，開始針對像華為云這樣的新云服務(wù)提供商。具體地說，新樣本已經(jīng)注釋掉了防火墻規(guī)則創(chuàng)建功能，并繼續(xù)使用網(wǎng)絡(luò)掃描器來尋找其他具有 api 相關(guān)端口的主機。華為云是較新的云提供商，聲稱它已經(jīng)為超過 300 萬客戶提供服務(wù)。研究人員已將此次攻擊通知該公司，但尚未收到回復(fù)。

? Webroot 發(fā)布關(guān)于 2021 年最惡劣的惡意軟件的報告

Webroot 表示，2021 年是網(wǎng)絡(luò)威脅占據(jù)新聞頭條的一年，勒索軟件勒索已從一種趨勢演變?yōu)橐环N新常態(tài)。該公司在其報告中列出的 2021 年最惡劣的惡意軟件包括：著名的僵尸網(wǎng)絡(luò) LemonDuck、勒索軟件 REvil、銀行木馬 Trickbot、銀行木馬和信息竊取程序 Dridex、勒索軟件 Conti、滲透測試工具 Cobalt Strike，以及 Hello Kitty 和 DarkSide。

? 厄瓜多爾最大私人銀行Banco Pichincha 遭到攻擊

厄瓜多爾最大的私人銀行 Banco Pichincha 遭到了網(wǎng)絡(luò)攻擊，系統(tǒng)暫時關(guān)閉。此次攻擊導(dǎo)致銀行的業(yè)務(wù)大面積中斷，包括 ATM、網(wǎng)上銀行、應(yīng)用程序、電子郵件系統(tǒng)和自助服務(wù)。該銀行在服務(wù)中斷的兩天后發(fā)布聲明，稱其遭到了網(wǎng)絡(luò)攻擊，但并未公開此次攻擊的性質(zhì)。據(jù)研究人員稱這是一次勒索軟件攻擊，攻擊者在銀行的系統(tǒng)中安裝了 Cobalt Strike beacon。

? IDC 發(fā)布 2021 上半年中國 IT 安全服務(wù)市場跟蹤報告

IDC 在 10 月 12 日發(fā)布了 2021 上半年中國 IT 安全服務(wù)市場跟蹤報告。IDC 定義的網(wǎng)絡(luò)安全服務(wù)市場分別由安全咨詢服務(wù)、IT 安全教育與培訓(xùn)服務(wù)、托管安全服務(wù)和安全集成服務(wù)四個子市場構(gòu)成。報告顯示，2021 上半年中國 IT 安全服務(wù)市場廠商整體收入約為 11.1 億美元（約合 71.5 億元人民幣），廠商收入規(guī)模較去年同期實現(xiàn)翻倍增長， 漲幅高達(dá) 110%，較 2019 年同比增長 38%，中國 IT 安全服務(wù)市場正式進(jìn)入需求全面爆發(fā)期。

? 巴西Hariexpress 數(shù)據(jù)庫配置錯誤泄露 17.5 億條用戶記錄

Safety Detectives 在 10 月 13 日披露，巴西電商集成平臺 Hariexpress 泄露了超過610 GB 數(shù)據(jù)。此次事件是由于 Elasticsearch 服務(wù)器配置錯誤導(dǎo)致的，其中包含了超過1751023279 條用戶記錄。據(jù)研究人員稱，他們在 5 月 12 日發(fā)現(xiàn)了泄露的數(shù)據(jù)，經(jīng)過分析當(dāng)時這些數(shù)據(jù)已公開了一個多月。直至目前該數(shù)據(jù)庫仍未得到保護，Hariexpress 也未對此事作出回應(yīng)。

? 澳大利亞當(dāng)局將采取刪除被盜文件的方式解決數(shù)據(jù)問題

澳大利亞政府在 10 月 15 日發(fā)布了一項新的勒索軟件行動計劃，是澳大利亞為期十年的《2020 年網(wǎng)絡(luò)安全戰(zhàn)略》中的一部分。為了更有力地打擊勒索軟件攻擊活動，澳大利亞當(dāng)局發(fā)布了《2021年監(jiān)視法修正案》。其中規(guī)定澳大利亞聯(lián)邦警察和刑事情報委員會有權(quán)刪除與犯罪活動相關(guān)的數(shù)據(jù)，這允許執(zhí)法部門刪除在勒索軟件攻擊期間被盜并存儲在攻擊者服務(wù)器上的數(shù)據(jù)，以防止數(shù)據(jù)泄露問題。

? Kaspersky 發(fā)布 APT 組織IronHusky 攻擊活動的分析報告

Kaspersky 在10 月12 日發(fā)布了關(guān)于APT 組織IronHusky 攻擊活動的分析報告。2021 年 8 月下旬和 9 月上旬，研究人員檢測到在多個 Windows 服務(wù)器上利用了Win32k 驅(qū)動程序中的釋放后使用漏洞 CVE-2021-40449 的攻擊活動。該活動還利用了惡意軟件MysterySnail，其代碼的相似性和 C2 的重用使得研究人員將此次活動與 2012 年的 APT 組織 IronHusky 關(guān)聯(lián)起來。

? CISA 和 FBI 聯(lián)合發(fā)布關(guān)于水務(wù)系統(tǒng)網(wǎng)絡(luò)威脅的安全公告

美國 CISA、FBI、EPA 和 NSA 在 10 月 14 日發(fā)布了聯(lián)合網(wǎng)絡(luò)安全公告(CSA) ，詳細(xì)說明了美國水務(wù)系統(tǒng)(WWS)行業(yè)所面臨的網(wǎng)絡(luò)威脅。公告強調(diào)了正在進(jìn)行的針對 WWS 行業(yè)的 IT 和 OT 網(wǎng)絡(luò)、系統(tǒng)和設(shè)備的攻擊活動，該活動可能會影響相關(guān)公司提供清水、飲用水和有效處理廢水的能力。CISA 還發(fā)布了 WWS 行業(yè)的網(wǎng)絡(luò)風(fēng)險和資源信息圖，指出了該行業(yè)面臨的信息技術(shù)和運營技術(shù)風(fēng)險。

? 3D 打印平臺 Thingiverse 泄露超過 22 萬用戶的信息

Have I Being Pwned(HIBP)在 10 月 14 日發(fā)文稱，3D 打印平臺 Thingiverse 泄露了約 228000 名用戶的詳細(xì)信息。此次泄露的信息包括電子郵件地址、用戶名、IP、DoB 和密碼，HIPB 表示這些信息已在黑客論壇上公開。Thingiverse 的母公司 MakerBot 淡化了這一事件，稱這是內(nèi)部的人為錯誤導(dǎo)致了一些非敏感信息的泄露，并表示已通知受影響的用戶修改他們的密碼。

? Unit 42 發(fā)布利用 Interactsh 的攻擊活動的分析報告

Unit 42 在 10 月 14 日披露了利用開源工具 Interactsh 的攻擊活動。該工具可以生成特定的域名，以幫助用戶測試漏洞利用是否成功。從 2021 年 4 月中旬開始，研究人員注意到一些漏洞利用嘗試活動使用的payload 具有相同域名但子域不同。經(jīng)過調(diào)查，發(fā)現(xiàn)來源于 Interactsh，該工具于今年 4 月 16 日發(fā)布，在 4 月 18 日就出現(xiàn)了利用它的攻擊嘗試。

? Continuity 發(fā)布關(guān)于存儲安全態(tài)勢的分析報告

Continuity 在近期發(fā)布了關(guān)于存儲安全態(tài)勢的分析報告。報告分析了銀行、金融服務(wù)、運輸、醫(yī)療保健等行業(yè)客戶的 423 個存儲系統(tǒng)，總共發(fā)現(xiàn)了 6300 多個安全問題。平均每臺設(shè)備上存在 15 個漏洞，其中 3 個是存在重大風(fēng)險的關(guān)鍵漏洞。最常見的安全風(fēng)險為使用易受攻擊的協(xié)議、未修復(fù)的漏洞、訪問權(quán)限問題、不安全的用戶管理和日志記錄不足等。

? CISA、FBI 和NSA 發(fā)布 BlackMatter 的預(yù)警公告

10 月 18 日，CISA、FBI 和 NSA 發(fā)布了勒索軟件 BlackMatter 的聯(lián)合網(wǎng)絡(luò)安全咨詢(CSA)。自今年 7 月以來，勒索軟件 BlackMatter 已攻擊了美國的多個與關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的公司，例如食品和農(nóng)業(yè)行業(yè)。該 CSA 分析了 BlackMatter 的樣本并結(jié)合了來自第三方的信息，提供了攻擊者的策略、技術(shù)和程序，并概述緩解措施，以幫助組織改進(jìn)針對此類攻擊的保護、檢測和響應(yīng)措施。

? 黑客聲稱已竊取新加坡Fullerton 40 多萬客戶的信息

攻擊者于10 月11 日開始，在暗網(wǎng)上以600 美元的價格出售新加坡醫(yī)療公司Fullerton 的數(shù)據(jù)。攻擊者聲稱已獲取了 40 多萬客戶，并公開了姓名、身份證號碼、銀行賬戶和病史等信息作為樣本。但是在上周五（10 月 22 日），攻擊者刪除了有關(guān)數(shù)據(jù)出售的信息。該公司在 10 月 19 日稱，此次泄露是由于其供應(yīng)商 Agape 前不久的違規(guī)行為導(dǎo)致的，目前仍未確定受影響人員的數(shù)量和身份。

? SEON 發(fā)布關(guān)于全球網(wǎng)絡(luò)犯罪威脅態(tài)勢的分析報告

SEON 在 10 月 25 日發(fā)布了關(guān)于全球網(wǎng)絡(luò)犯罪威脅態(tài)勢的分析報告。報告對全球近100 個國家和地區(qū)進(jìn)行分析，發(fā)現(xiàn)網(wǎng)絡(luò)安全性最強的國家是丹麥，其次是德國、美國、挪威、英國、加拿大、瑞典和澳大利亞等國。相反，最不安全的國家是緬甸，其次是柬埔寨、洪都拉斯、玻利維亞和蒙古等國。報告還指出了 2020 年美國最常見的網(wǎng)絡(luò)犯罪類型分別是網(wǎng)絡(luò)釣魚和欺詐(32.96%)、未付款或未交付(14.87%)和敲詐勒索 (10.48%)。

? Microsoft 發(fā)布 NOBELIUM 團伙攻擊活動的分析報告

Microsoft 威脅情報中心在 10 月 25 日發(fā)布了關(guān)于NOBELIUM 團伙攻擊活動的分析報告。NOBELIUM 是 2020 年 12 月針對 SolarWinds 的供應(yīng)鏈攻擊的幕后黑手，自 2021 年 5 月以來，該團伙在美國和歐洲發(fā)起了有針對性的供應(yīng)鏈攻擊。此次活動并未利用任何漏洞，而是利用密碼噴射、令牌盜竊、API 濫用和魚叉式網(wǎng)絡(luò)釣魚等多種技術(shù)來竊特權(quán)帳戶的憑據(jù)，從而在云環(huán)境中橫向移動。

? Neustar 發(fā)布 2021 年 9 月全球威脅態(tài)勢的統(tǒng)計報告

Neustar 國際安全委員會(NISC)發(fā)布了 2021 年 9 月全球威脅態(tài)勢的統(tǒng)計報告。報告顯示，72%的組織在過去 12 個月內(nèi)至少經(jīng)歷過一次 DNS 攻擊，其中最常見的 DNS 攻擊類型DNS 劫持 (47%)、DNS 洪泛反射或放大攻擊等DDoS 攻擊(46%)、DNS 隧道(35%) 和緩存中毒(33%)。2021 年 7 月至 8 月，DDoS 是最受關(guān)注的問題，其次是系統(tǒng)入侵和勒索軟件。

網(wǎng)絡(luò)安全最新漏洞追蹤

?? WinRAR 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-35052）

漏洞詳情

WinRAR 是一款功能強大的壓縮包管理器，可以使用它創(chuàng)建和解壓常見的壓縮包格式，如 RAR 和 ZIP 等類型。2021 年 10 月 20 日，WinRAR Windows 試用版 5.70 被公開披露可能存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-35052），遠(yuǎn)程攻擊者可以通過攔截和修改發(fā)送給應(yīng)用程序用戶的請求，最終實現(xiàn)在受害者的計算機上遠(yuǎn)程執(zhí)行任意代碼。對該漏洞的研究源于 MSHTML（又名 Trident）所呈現(xiàn)的 JavaScript 錯誤，MSHTML是目前已停用的Internet Explorer 的專有瀏覽器引擎，在 Office 中用于呈現(xiàn) Word、Excel 和 PowerPoint 文檔中的 web 內(nèi)容，從而發(fā)現(xiàn)在試用期滿后啟動應(yīng)用程序時，錯誤窗口每三次顯示一次。通過攔截WinRAR 通過 no[.com]提醒用戶免費試用期結(jié)束時發(fā)送的響應(yīng)代碼，并將其修改為“301 Moved Permanently” 重定向消息，該漏洞可以被濫用來為所有后續(xù)請求緩存重定向到攻擊者控制的惡意域。除此之外，已經(jīng)能夠訪問同一網(wǎng)絡(luò)域的攻擊者可以執(zhí)行 ARP 欺騙攻擊，以遠(yuǎn)程啟動應(yīng)用程序、檢索本地主機信息，甚至運行任意代碼。

影響范圍

WinRAR Windows 5.70 試用版

安全建議

目前漏洞已經(jīng)公開披露，建議受影響的用戶使用官方付費版本。

下載鏈接：

參考鏈接：

;utm_medium=rss&utm_campaign=winrar-trial-flaw

? Oracle 10 月多個安全漏洞

漏洞概述

2021 年 10 月 19 日，Oracle 發(fā)布了 10 月份的安全更新，本次發(fā)布的安全更新共計419 個，涉及 Oracle Communications Applications 、Oracle E-Business Suite、Oracle Financial Services Applications 、 Oracle Enterprise Manager 、 Oracle Fusion Middleware、Oracle Java SE、Oracle MySQL 和 Oracle Systems 等多個產(chǎn)品和組件。

漏洞詳情

l Oracle Fusion Middleware 多個安全漏洞

Oracle 此次共發(fā)布了 38 個適用于 Oracle Fusion Middleware 的安全更新，其中有30 個漏洞無需經(jīng)過身份驗證即可遠(yuǎn)程利用。本次發(fā)布的更新涉及多個 Oracle WebLogic Server 漏洞：CVE-2021-35617 、 CVE-2021-35620 和 CVE-2021-35552 等， 其中CVE-2021-35617 的 CVSS 評分為 9.8，攻擊復(fù)雜度低，且無需用戶交互。攻擊者可以通過 IIOP 協(xié)議對 Oracle WebLogic Server 發(fā)起攻擊，成功利用此漏洞的攻擊者可以控制 Oracle WebLogic Server。

l Oracle Communications Applications 多個安全漏洞

Oracle 此次共發(fā)布了 19 個適用于 Oracle Communications Applications 的安全更新， 其中有 14 個漏洞無需經(jīng)過身份驗證即可遠(yuǎn)程利用。其中嚴(yán)重漏洞包括CVE-2021-3177，其 CVSS 評分為 9.8。

l Oracle E-Business Suite 多個安全漏洞

Oracle 此次共發(fā)布了 18 個適用于 Oracle E-Business Suite 的安全更新，其中有 4 個漏洞無需經(jīng)過身份驗證即可遠(yuǎn)程利用。其中包括 CVE-2021-35566、CVE-2021-2483、CVE-2021-35536 和 CVE-2021-35585 等 11 個高危漏洞，它們的 CVSS 評分均為 8.1。

l Oracle Enterprise Manager 多個安全漏洞

Oracle 此次共發(fā)布了 8 個適用于 Oracle Enterprise Manager 的安全更新，其中有 5 個漏洞無需經(jīng)過身份驗證即可遠(yuǎn)程利用。其中一個評級為嚴(yán)重的漏洞為CVE-2021-26691（CVSS 評分為 9.8），該漏洞的利用復(fù)雜度低，且無需用戶交互。此外，Oracle 還修復(fù)了包括 CVE-2021-2137 和 CVE-2021-29505 在內(nèi)的其它 7 個安全漏洞。

l Oracle Financial Services Applications 多個安全漏洞

Oracle 此次共發(fā)布了 44 個適用于 Oracle Financial Services Applications 的安全更新， 其中有 26 個漏洞無需經(jīng)過身份驗證即可遠(yuǎn)程利用。其中嚴(yán)重漏洞包括CVE-2021-21345、CVE-2020-5413 和 CVE-2020-10683，它們的 CVSS 評分均為 9.8。

l Oracle Java SE 多個安全漏洞

Oracle 此次共發(fā)布了 15 個適用于 Oracle Java SE 的安全更新，其中有 13 個漏洞無需經(jīng)過身份驗證即可遠(yuǎn)程利用。其中高危漏洞包括 CVE-2021-3517、CVE-2021-35560 和 CVE-2021-27290 。其中， CVE-2021-3517 和 CVE-2021-35560 影響了 Java SE8u301。

l Oracle MySQL 多個安全漏洞

Oracle 此次共發(fā)布了 66 個適用于Oracle MySQL 的安全更新，其中有 10 個漏洞無需經(jīng)過身份驗證即可遠(yuǎn)程利用。嚴(yán)重漏洞包括 CVE-2021-22931（影響 MySQL 集群） 和 CVE-2021-3711（影響 MySQL 服務(wù)器），這 2 個漏洞的CVSS 評分均為 9.8，攻擊復(fù)雜度低，且無需用戶交互。

l Oracle Systems 多個安全漏洞

Oracle 此次共發(fā)布了 5 個適用于 Oracle Systems 的安全更新，其中有 2 個漏洞無需經(jīng)過身份驗證即可遠(yuǎn)程利用。嚴(yán)重漏洞包括 CVE-2021-26691，其 CVSS 評分均為 9.8，攻擊復(fù)雜度低， 且無需用戶交互。此外， Oracle 還發(fā)布了 CVE-2021-35539 、CVE-2021-35589、CVE-2021-35549 和 CVE-2020-1968 等多個漏洞的補丁。

安全建議

目前 Oracle 已經(jīng)發(fā)布了相關(guān)補丁，建議受影響的用戶及時升級更新。漏 洞 列 表 及 影 響 范 圍 請 參 考 Oracle 官 方 公 告 ：

緩解措施

?針對 WebLogic，建議禁用 T3 協(xié)議或 IIOP 協(xié)議。禁用 T3 協(xié)議，具體操作：

1）進(jìn)入 WebLogic 控制臺，在 base_domain 的配置頁面中，進(jìn)入“安全”選項卡頁面，點擊“篩選器”，進(jìn)入連接篩選器配置。

2)在連接篩選器中輸入：weblogic.，在連接篩選器規(guī)則中輸入：127.0.0.1 * * allow t3t3s，0.0.0.0/0 * *deny t3 t3s(t3 和 t3s 協(xié)議的所有端口只允許本地訪問)。

3）保存后需重新啟動，規(guī)則方可生效。

?禁用 IIOP 協(xié)議，具體操作：登陸 WebLogic 控制臺，base_domain >服務(wù)器概要 >AdminServer

?

?參考鏈接：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931

? NET Core & Visual Studio 信息泄露漏洞 (CVE-2021-41355)

漏洞詳情

2021 年 10 月 12 日，微軟修復(fù)了 .NET Core 和 Visual Studio 中的一個信息泄露漏洞（CVE-2021-41355），該漏洞可能會導(dǎo)致憑證以明文形式泄露，其 CVSS 評分為5.7，影響了.NET 5.0、Microsoft Visual Studio 2019 和 PowerShell 7.1。

近 日 ， 微 軟 發(fā) 布 Windows Defender 應(yīng) 用 程 序 控 制 安 全 功 能 繞 過 漏 洞（CVE-2020-0951，于 2020 年 9 月 8 日首次發(fā)布）安全公告，該漏洞可能使攻擊者繞過 WDAC 。成功利用此漏洞的攻擊者可以執(zhí)行被 WDAC 阻止的 PowerShell 命令。但要利用該漏洞，攻擊者需要在運行 PowerShell 的本地機器上有管理員權(quán)限。然后，攻擊者可以連接到 PowerShell 會話， 并發(fā)送命令來執(zhí)行任意代碼。該漏洞影響了PowerShell 7.0 和 7.1 版本。

PowerShell 是一個跨平臺的任務(wù)自動化解決方案，由命令行 shell、腳本語言和配置管理框架組成。PowerShell 可以在 Windows、Linux 和 macOS 上運行。Windows Defender 應(yīng)用程序控制（WDAC）旨在保護 Windows 設(shè)備免受潛在的惡意軟件入侵， 確保只有受信任的應(yīng)用程序和驅(qū)動程序可以運行，從而阻止惡意軟件和不需要的軟件啟動。

目前， Redmond 已經(jīng)發(fā)布了 PowerShell 7.0.8 和 PowerShell 7.1.5 ， 以修復(fù)PowerShell 7 和 PowerShell 7.1 分 支 中 的 安 全 漏 洞 CVE-2020-0951 和CVE-2021-41355。由于攻擊者可以利用這些漏洞繞過 WDAC 強制執(zhí)行并獲得對純文本憑據(jù)的訪問權(quán)限，微軟要求系統(tǒng)管理員為 PowerShell 7 更新補丁。

影響范圍

這 2 個漏洞影響了 PowerShell 7 的以下版本：

CVE-2021-41355：PowerShell 7.1

CVE-2020-0951：PowerShell 7.0 、PowerS

安全建議

目前這些漏洞已經(jīng)修復(fù)。針對 PowerShell ，建議受影響的用戶及時升級更新到PowerShell 7.0.8 或 PowerShell 7.1.5。要檢測 PowerShell 7 版本是否受到影響，請在Powershell 窗口中輸入命令：$PSVersionTable。

下載鏈接：

參考鏈接：

patch-powershell-to-fix-wdac-bypass/

? Microsoft 10 月多個安全漏洞

漏洞概述

2021 年 10 月 12 日，Microsoft 發(fā)布了 10 月份的安全更新，本次發(fā)布的安全更新修復(fù)了包括 4 個 0 day 漏洞在內(nèi)的 74 個安全漏洞（包括 Microsoft Edge 為 81 個漏洞），其中有 3 個漏洞評級為嚴(yán)重，70 個漏洞評級為高危，1 個漏洞評級為中危。

漏洞詳情

本次發(fā)布的安全更新涉及 Microsoft Exchange Serve、Microsoft Office 套件、Visual Studio、Windows Win32K、Windows TCP/IP、Windows Installer 和 Windows Kernel 等多個產(chǎn)品和組件。

在 81 個漏洞中（包括 Microsoft Edge），21 個為權(quán)限提升漏洞，6 個為安全功能繞過漏洞，20 個為遠(yuǎn)程代碼執(zhí)行漏洞，13 個為信息泄露漏洞，5 個為拒絕服務(wù)漏洞，以及 9 個欺騙漏洞。

Microsoft 本次修復(fù)的 4 個 0 day 漏洞如下，其中 Win32k 權(quán)限提升漏洞已被積極利用：

l Win32k 權(quán)限提升漏洞（CVE-2021-40449）

該漏洞為 Windows Win32k 內(nèi)核驅(qū)動程序中的權(quán)限提升漏洞，其 CVSS 評分為 7.8， 攻擊復(fù)雜度和所需權(quán)限低，無需用戶交互即可被本地利用。目前此漏洞已被公開披露， 據(jù)卡巴斯基表示，該漏洞正被威脅行為者用于針對 IT 公司、軍事/國防承包商和外交實體的廣泛間諜活動，并用于提升 MysterySnail 遠(yuǎn)程訪問木馬 (RAT)的權(quán)限，卡巴斯基將其歸因于 IronHusky APT 活動。

l Windows DNS server 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-40469）

該漏洞已經(jīng)公開披露，其 CVSS 評分為 7.2，目前暫未發(fā)現(xiàn)被利用。該漏洞無需用戶交互即可遠(yuǎn)程利用，攻擊復(fù)雜度低，但所需權(quán)限高，并且僅在服務(wù)器配置為 DNS 服務(wù)器時才可被利用。微軟的可利用性評估將其評為“不太可能被利用“。

l Windows Kernel 權(quán)限提升漏洞（CVE-2021-41335）

該漏洞已經(jīng)公開披露，其 CVSS 評分為 7.8，目前暫未發(fā)現(xiàn)被利用。該漏洞的攻擊復(fù)雜度和所需權(quán)限低，無需用戶交互即可被本地利用，微軟的可利用性評估將其評為“不太可能被利用“。

l Windows AppContainer 防火墻規(guī)則安全功能繞過漏洞（CVE-2021-41338）

該漏洞已經(jīng)公開披露，其 CVSS 評分為 5.5，目前暫未發(fā)現(xiàn)被利用。該漏洞的攻擊復(fù)雜度和所需權(quán)限低，無需用戶交互即可被本地利用，微軟的可利用性評估將其評為“不太可能被利用“。

3 個評級為嚴(yán)重的漏洞包括：

l Microsoft Word 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-40486）

該漏洞尚未公開披露，其 CVSS 評分為 7.8，目前暫未發(fā)現(xiàn)被利用。該漏洞的攻擊復(fù)雜度低且無需特殊權(quán)限即可被本地利用，但需與用戶交互，微軟的可利用性評估將其評為“不太可能被利用“。此外，需要注意的是，預(yù)覽窗格是此漏洞的一種攻擊媒介。

l Windows Hyper-V 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-40461）

該漏洞尚未公開披露，其 CVSS 評分為 8.0，目前暫未發(fā)現(xiàn)被利用。利用該漏洞所需權(quán)限低且無需用戶交互，但攻擊復(fù)雜度高，微軟的可利用性評估將其評為“不太可能被利用“。

l Windows Hyper-V 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-38672）

該漏洞尚未公開披露，其 CVSS 評分為 8.0，目前暫未發(fā)現(xiàn)被利用。利用該漏洞所需權(quán)限低且無需用戶交互，但攻擊復(fù)雜度高，微軟的可利用性評估將其評為“不太可能被利用“。

為了利用此漏洞，惡意來賓 VM 可能會讀取主機中的內(nèi)核內(nèi)存。但要觸發(fā)此漏洞， 來賓 VM 需要首先在來賓 VM 上發(fā)生內(nèi)存分配錯誤，此錯誤可導(dǎo)致從來賓到主機的 VM 逃逸。

此外，需要優(yōu)先修復(fù)的漏洞還包括但不限于以下：

l CVE-2021-33781：Azure AD 安全功能繞過漏洞

l CVE-2021-38624：Windows 密鑰存儲提供程序安全功能繞過漏洞

l CVE-2021-26427：Exchange Server 遠(yuǎn)程代碼執(zhí)行漏洞

l CVE-2021-40454：Power Apps 中的富文本編輯控制信息泄露漏洞

l CVE-2021-40487：Microsoft SharePoint Server 遠(yuǎn)程代碼執(zhí)行漏洞

安全建議

目前 Microsoft 已發(fā)布相關(guān)安全更新，鑒于漏洞的嚴(yán)重性，建議受影響的用戶盡快修復(fù)。

（一） Windows update 更新自動更新：

Microsoft Update 默認(rèn)啟用，當(dāng)系統(tǒng)檢測到可用更新時，將會自動下載更新并在下一次啟動時安裝。

手動更新：

1、點擊“開始菜單”或按 Windows 快捷鍵，點擊進(jìn)入“設(shè)置”

2、選擇“更新和安全”，進(jìn)入“Windows 更新”（Windows 8、Windows 8.1、Windows Server 2012 以及 Windows Server 2012 R2 可通過控制面板進(jìn)入“Windows 更新”，具體步驟為“控制面板”->“系統(tǒng)和安全”->“Windows 更新”）

3、選擇“檢查更新”，等待系統(tǒng)將自動檢查并下載可用更新。

4、重啟計算機，安裝更新系統(tǒng)重新啟動后，可通過進(jìn)入“Windows 更新”->“查看更新歷史記錄”查看是否成功安裝了更新。對于沒有成功安裝的更新，可以點擊該更新名稱進(jìn)入微軟官方更新描述鏈接，點擊最新的 SSU 名稱并在新鏈接中點擊“Microsoft 更新目錄”，然后在新鏈接中選擇適用于目標(biāo)系統(tǒng)的補丁進(jìn)行下載并安裝。

（二） 手動安裝更新

Microsoft 官方下載相應(yīng)補丁進(jìn)行更新。

下載鏈接：

參考鏈接：

ch-tuesday-fixes-4-zero-days-71-flaws/

? Apache OpenOffice 10 月多個安全漏洞

漏洞概述

2021 年 10 月 11 日，Apache 發(fā)布安全公告，公開披露了 Apache OpenOffice 中的多個安全漏洞，攻擊者可以利用這些漏洞來欺騙簽名文檔或?qū)嵤┪词跈?quán)操作。

漏洞詳情

Apache OpenOffice 和 LibreOffice 都是 O 的衍生產(chǎn)品。Apache openoffice 是一款類似于微軟 MS Office 軟件和 WPS 的免費跨平臺的辦公軟件套件；LibreOffice 辦公套件同樣是自由開源的，但相比 OpenOffice 增加了很多特色功能。

作為 OpenOffice 的一個分支，本次披露的 3 個漏洞也影響了 LibreOffice：

CVE-2021-41830：Apache OpenOffice（高危）

攻擊者能夠修改已簽名的文件和宏，使其看起來像是來自受信任的來源。該漏洞也影響了 LibreOffice，追蹤為 CVE-2021-25633。

CVE-2021-41831：Apache OpenOffice（中危）

攻擊者能夠修改簽名文檔的時間戳。該漏洞也影響了 LibreOffice ， 追蹤為CVE-2021-25634。

CVE-2021-41832：Apache OpenOffice（中危）

攻擊者修改文件使其看起來是由一個受信任的來源簽署的。該漏洞也影響了

LibreOffice，追蹤為 CVE-2021-25635。

影響范圍

Apache OpenOffice < 4.1.10

安全建議

目前 Apache OpenOffice 已經(jīng)修復(fù)了這些漏洞，建議相關(guān)用戶及時升級更新至Apache OpenOffice 4.1.11 版本；針對 LibreOffice，建議升級更新到 7.0.5 或 7.1.1 及更高版本。由于這兩個應(yīng)用程序均不提供自動更新，建議用戶下載最新版本手動更新，或者選擇完全禁用辦公套件上的宏功能以緩解此漏洞。

下載鏈接：

Apache OpenOffice：

LibreOffice：

參考鏈接：

af529548-6884-590a-1d8f-e66e90bfb7f8@a

ows-hackers-to-spoof-signed-docs/

? Apache 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-42013）

漏洞詳情

Apache HTTP Server 是一個開源、跨平臺的 Web 服務(wù)器，它在全球范圍內(nèi)被廣泛使用。

2021 年 10 月 7 日，Apache 軟件基金會發(fā)布了 Apache HTTP Server 2.4.51 ， 以修復(fù) Apache HTTP Server 2.4.49 和 2.4.50 中的路徑遍歷和遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-41773、CVE-2021-42013），目前這些漏洞已被廣泛利用。

Apache HTTP Server 路徑遍歷漏洞（CVE-2021-41773）

2021 年 10 月 5 日，Apache 發(fā)布更新公告，修復(fù)了 Apache HTTP Server 2.4.49中的一個路徑遍歷和文件泄露漏洞（CVE-2021-41773）。

攻擊者可以通過路徑遍歷攻擊將 URL 映射到預(yù)期文檔根目錄之外的文件，如果文檔根目錄之外的文件不受“require all denied” 訪問控制參數(shù)的保護，則這些惡意請求就會成功。除此之外，該漏洞還可能會導(dǎo)致泄漏 CGI 腳本等解釋文件的來源。

Shodan 搜索顯示，全球部署有超過十萬個，其中許多服務(wù)器中可能存在此漏洞，并且此漏洞目前已被廣泛利用，建議相關(guān)用戶盡快更新。

Apache HTTP Server 路徑遍歷和遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-42013）

由于對 CVE-2021-41773 的修復(fù)不充分，攻擊者可以使用路徑遍歷攻擊，將 URL映射到由類似別名的指令配置的目錄之外的文件，如果這些目錄外的文件沒有受到默認(rèn)配置"require all denied "的保護，則這些惡意請求就會成功。如果還為這些別名路徑啟用了 CGI 腳本，則能夠?qū)е逻h(yuǎn)程代碼執(zhí)行。

影響范圍

Apache HTTP Server 2.4.49

Apache HTTP Server 2.4.50

安全建議

目前這些漏洞已經(jīng)修復(fù)，鑒于漏洞的嚴(yán)重性，建議受影響的用戶立即升級更新到

Apache HTTP Server 2.4.51（已于 10 月 7 日發(fā)布）或更高版本。

下 載 鏈 接 ：

參考鏈接：

7c4d9498-09ce-c4b4-b1c7-d55512fdc0b0@a

xes-incomplete-patch-for-exploited-bug/