微软多个产品高危漏洞的紧急预警
发布时间:2021-12-01
点击数:
微软多个产品高危漏洞的紧急预警
一、安全预警
近期,发现微软多个产品存在高危漏洞,存在高危风险的产 品包括: Microsoft Windows 和 Windows 组件、Microsoft E dge(Chromium-based)、Exchange Server、.NET Core 和 Vi sual Studio、Microsoft Office Services 和 Web Apps、Sha rePoint Server、Microsoft Dynamics、InTune 和 System Ce nter Operations Manager 等。应用范围较广,因此威胁影响范 围较大。 请各重点单位高度重视,加强网络安全防护,切实保障网络 系统安全稳定运行。
二、事件信息
(一)事件概要
事件名称:微软多个产品高危漏洞
CVE 编号: CVE-2021-40449,CVE-2021-38672,CVE-2021-40461,CVE-2021-40486,CVE-2021-26427
威胁类型:权限提升 远程代码执行
威胁等级:高
受影响的应用版本 :
Microsoft Exchange,Windows 11,Windows 10,Windows Server 2022,Windows Server version 20H2,Windows Server version 2004,Windows Server 2019,Windows Server 2016,Windows Server 2012 R2,Windows Server 2012,Windows Server 2008 R2,Windows Server 2008,Windows RT 8.1,Windows 8.1Windows 7,Microsoft Word,Microsoft Office,Microsoft SharePoint
(二)漏洞描述
CVE-2021-40449 Win32k 特权提升漏洞
该漏洞存在于 Win32k NtGdiResetDC 函数中,攻击者可通 过该漏洞进行系统提权,并结合代码执行漏洞来接管系统。
CVE-2021-38672 / CVE-2021-40461 Windows Hyper-V 远程代码执行漏洞
成功利用此漏洞需允许恶意来宾 VM 读取主机中的内核内 存。如需触发此漏洞,来宾 VM 上需要出现内存分配错误。VM 可利用此错误,从来宾逃逸至主机。
CVE-2021-40486 Microsoft Word 远程执行代码漏洞
此补丁修复了在系统上查看特制 Word 文档时允许代码执 行的错误。尽管该漏洞需要用户交互,但微软提到预览窗格也被 列为攻击媒介。
CVE-2021-26427 Microsoft Exchange Server 远程执 行代码漏洞
攻击者可通过相邻网络对目标 Exchange 服务器发起攻击。 (注:该漏洞在协议级别仅限于逻辑相邻的拓扑,无法从 Inte rnet 访问)。
(三)影响范围
Microsoft Exchange,Windows 11,Windows 10,Windows Se rver 2022,Windows Server version 20H2,Windows Server version 2004,Windows Server 2019,Windows Server 2016, Windows Server 2012 R2,Windows Server 2012,Windows Server 2008 R2,Windows Server 2008,Windows RT 8.1,W indows 8.1Windows 7,Microsoft Word,Microsoft Office,Mi crosoft SharePoint
三、处置建议
(一)解决方案
windows 自动更新
应及时进行 Microsoft Windows 版本更新并且保持 Windows 自动更新开启。
Windows server / Windows 检测并开启 Windows 自动更新 流程如下:
1、点击开始菜单,在弹出的菜单中选择“控制面板”进行 下一步。
2、点击控制面板页面中的“系统和安全”,进入设置。
3、在弹出的新的界面中选择“windows update”中的“启 用或禁用自动更新”。
4、然后进入设置窗口,展开下拉菜单项,选择其中的自动 安装更新(推荐)。
手动更新
对于不能自动更新的系统版本,可参考以下链接下载适用于 该系统 10 月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2021-Oct
四、应急处置建议
一旦发现系统中存在漏洞被利用的情况,请您第一时间通知我司,同时开展以下紧急处置:
一是立即断开被入侵的主机系统的网络连接,防止进一步危 害
二是留存相关日志信息;
三是通过“解决方案”加固系统并通过检查确认无相关漏洞 后再恢复网络连接
