微软多款产品存在高危漏洞的紧急预警
发布时间:2021-12-23
点击数:
一、安全预警
近期,发现微软多款产品存在远程代码执行、权限提升高危 漏洞,多款产品包括:Visual Studio Code WSL Extension、Mi crosoft Office app、Microsoft 4K Wireless Display Adapter、W indows Encrypting File System (EFS)、Microsoft Defender for I oT、Windows Common Log File System Driver、iSNS Server 等。应用范围较广,因此威胁影响范围较大。 请各重点单位高度重视,加强网络安全防护,切实保障网络 系统安全稳定运行。
二、事件信息
(一)事件概要
事件名称:微软多款产品存在高危漏洞
漏洞编号:CVE-2021-43890、CVE-2021-43883、CVE-20 21-43215、CVE-2021-43905、CVE-2021-43233、CVE-20 2143880、CVE-2021-41333、CVE-2021-43207、CVE-202 1-43226
威胁类型:权限提升、远程代码执行
威胁等级:高
受影响的应用:Visual Studio Code WSL Extension、Microsoft Office app、Microsof t 4K Wireless Display Adapter、Windows Encrypting File System (E FS)、Microsoft Defender for IoT、Windows Common Log File Syst em Driver、iSNS Server
(二)漏洞描述
1. CVE-2021-43890 Windows AppX Installer 欺骗漏洞
Windows AppX Installer 存在欺骗漏洞,攻击者可通过网络 钓鱼等方式诱导用户打开特制附件来利用此漏洞,成功利用此漏 洞的攻击者可在目标系统上以该用户权限执行任意代码。值得注意的是,此漏洞已检测到在野利用,现实攻击者正利用此漏洞传 播 Emotet、Trickbot、Bazaloader 等恶意软件。
2. CVE-2021-43883 Windows Installer 权限提升漏洞
Windows Installer 存在权限提升漏洞,此漏洞为 CVE-2021- 41379 漏洞的补丁绕过,经过身份验证的本地攻击者可利用此漏 洞以 SYSTEM 权限在目标机器上执行任意代码。
3. CVE-2021-43215 iSNS Server 远程代码执行漏洞
iSNS 服务器存在远程代码执行漏洞,未经身份验证的远程 攻击者可通过向易受攻击的 iSNS 服务器发送特制请求来利用 此漏洞,成功利用此漏洞的远程攻击者可能在目标服务器上执行 任意代码。
4. CVE-2021-43905 Microsoft Office app 远程代码执行漏洞
Microsoft Office app 存在远程代码执行漏洞,攻击者可通过 诱导用户打开特制文件来利用此漏洞,成功利用此漏洞的攻击者 可在目标系统上以该用户权限执行任意代码。
5. CVE-2021-43233 Remote Desktop Client 远程代码执行漏洞
Remote Desktop Client 存在远程代码执行漏洞,要利用这个 漏洞,攻击者需要控制恶意 RDP 服务器,然后通过社工、DNS 投毒或中间人 (MITM) 等技术诱导用户连接到它;攻击者还可以破坏合法服务器,在其上托管恶意代码,然后等待用户连接。 成功利用此漏洞的攻击者可在目标用户的机器上执行任意代码。
6. CVE-2021-43880 Windows Mobile Device Management 权限 提升漏洞
Windows Mobile Device Management 存在权限提升漏洞。经 过身份验证的本地攻击者可利用此漏洞在目标系统上以 SYSTE M 权限执行任意代码。
7. CVE-2021-41333 Windows Print Spooler 权限提升漏洞
Windows Print Spooler 存在权限提升漏洞,经过身份验证的 本地攻击者可利用此漏洞在目标系统上以 SYSTEM 权限执行任 意代码。
8. Windows Common Log File System Driver 权限提升漏洞
Windows Common Log File System Driver 存在两个权限提 升漏洞(CVE-2021-43207、CVE-2021-43226),经过身份验证 的本地攻击者可利用这些漏洞在目标系统上以 SYSTEM 权限执 行任意代码。
(三)影响范围
Visual Studio Code WSL Extension、Microsoft Office app、 Microsoft 4K Wireless Display Adapter、Windows Encrypting File System (EFS)、Microsoft Defender for IoT、Win dows Common Log File System Driver、iSNS Server
三、防范建议
(一)解决方案
1) Windows 自动更新:Windows 系统默认启用 Microsoft Update,当检测到可用更 新时,将会自动下载更新并在下一次启动时安装。
2) 手动安装补丁
对于不能自动更新的系统版本(如 Windows 7、Windows Server 2008、Windows Server 2008 R2)
可参考以下链接下 载适用于该系统的 12 月补丁并安装: https://msrc.microsoft.com/update-guide/releaseNote/2021-Dec
四、应急处置建议
一旦发现系统中存在漏洞被利用的情况,请您第一时间通知我司,同时开展以下紧急处置:
一是立即断开被入侵的主机系统的网络连接,防止进一步危 害
二是留存相关日志信息;
三是通过“解决方案”加固系统并通过检查确认无相关漏洞 后再恢复网络连接