积极开发的Windows 0day病毒获得了补丁

微软2021年8月的周二补丁解决了比以往更少的漏洞，包括更多的打印线轴问题，一个0day和七个关键漏洞。

微软在其预定的8月补丁星期二更新中修补了51个安全漏洞，包括7个关键漏洞，2个公开披露但至今未修补的问题，还有一个被列为零日漏洞，已在野外被利用。

值得注意的是，有17个特权提升（EoP）漏洞，13个远程代码执行（RCE）问题，8个信息披露缺陷和两个拒绝服务（DoS）漏洞。

该更新还包括针对另外三个打印线轴漏洞的补丁，这些漏洞在 “打印噩梦 “的传奇故事中已被人们所熟悉。

“幸运的是，这是一个比往常更轻松的月份，”Automox的高级产品营销经理Eric Feldman在该供应商的补丁星期二分析中说。”这意味着总体漏洞比7月份减少了56%，今年到目前为止，每个月平均减少33%的漏洞。我们也看到这个月的关键漏洞也有类似的减少，与每月的平均数相比减少了30%”。

Windows关键安全漏洞
8月份解决的七个关键漏洞如下。

CVE-2021-26424 – Windows TCP/IP RCE 漏洞
CVE-2021-26432 – Windows Services for NFS ONCRPC XDR Driver RCE 漏洞
CVE-2021-34480 – 脚本引擎内存破坏漏洞
CVE-2021-34530 – Windows图形组件RCE漏洞
CVE-2021-34534 – Windows MSHTML平台RCE漏洞
CVE-2021-34535 – 远程桌面客户端RCE漏洞
CVE-2021-36936 – Windows打印线轴RCE漏洞
被追踪为CVE-2021-26424的漏洞存在于Windows 7和较新的微软操作系统（包括服务器）中确定的TCP/IP协议栈。

“趋势科技零日计划（ZDI）的Dustin Childs在周二的分析中说：”尽管其CVSS评级为9.9，但这可能被证明是一个微不足道的错误，但它仍然令人着迷。”Hyper-V操作系统上的攻击者可以通过发送特制的IPv6 ping来执行Hyper-V服务器主机上的代码。这使得它不属于可蠕虫病毒的范畴。然而，一个成功的攻击将允许客户操作系统完全接管Hyper-V主机。虽然不是蠕虫病毒，但在已经存在多年的协议中发现新情况下的新漏洞仍然很酷”。

根据微软的公告，下一个错误，即Windows服务中的CVE-2021-26432，鉴于其低复杂度状态，更有可能被利用；它不需要特权或用户互动来利用，但微软没有提供进一步的细节。

“这可能属于’可蠕虫’类别，至少在安装了NFS的服务器之间，特别是由于开放网络计算远程程序调用（ONCRPC）由建立在Winsock内核（WSK）接口上的外部数据表示（XDR）运行时间组成，”Childs说。”这听起来当然是在一个监听网络服务上的高架代码。不要忽视这个补丁。”

Automox的产品营销经理Aleks Haugom补充说：”利用该漏洞会导致由同一安全机构管理的所有设备完全丧失机密性。此外，攻击者可以利用它进行拒绝服务攻击或恶意修改文件。到目前为止，微软和发现这个漏洞的安全研究员（奇安信集团传奇安全团队的柳本金）都没有透露更多细节。鉴于其广泛的潜在影响，其标签为’更有可能被利用’和明显的保密性，应尽快完成修补工作”。

同时，内存破坏漏洞（CVE-2021-34480）产生于脚本引擎如何处理内存中的对象，而且它也允许RCE。使用基于网络的攻击或恶意文件，如恶意登陆页面或钓鱼邮件，攻击者可以利用这个漏洞来控制受影响的系统，安装程序，查看或更改数据，或创建具有完整用户权限的新用户账户。

“CVE-2021-34480也应该是一个优先事项，”Immersive实验室的网络威胁研究主任Kevin Breen告诉Threatpost。”就CVSS而言，它的得分很低，为6.8分，但已被微软标记为’更有可能被利用’，因为它是常用于提高鱼叉式网络钓鱼攻击的成功率以获得网络访问的攻击类型。 简单，但有效”。

据微软称，Windows图形组件漏洞（CVE-2021-34530）允许攻击者在当前用户的背景下远程执行恶意代码–如果他们能够通过社会工程学使目标打开一个特制的文件。

另一个错误存在于Windows MSHTML平台，也被称为Trident（CVE-2021-34534）。Trident是Internet Explorer使用的渲染引擎（mshtml.dll）。该错误影响到许多Windows 10版本（1607，1809,1909，2004，20H2，21H1）以及Windows Server 2016和2019。

但是，虽然它有可能影响到大量的用户，但利用起来并不简单。

“Automox的技术产品营销经理Peter Pflaster说：”要想利用，威胁者需要在用户互动的情况下完成一次高度复杂的攻击–对于今天的复杂攻击者来说，这仍然是完全可能的。

这个被追踪为CVE-2021-34535的漏洞影响了微软的远程桌面客户端，这是微软用于连接远程PC的几乎无处不在的工具。

“布林说：”随着今天劳动力的高度分散，CVE-2021-34535，一个远程桌面客户端的RCE漏洞，应该是一个优先补丁。”攻击者越来越多地使用RDP访问作为获得网络访问的矛头，往往与特权升级相结合，横向移动。 这些可能是强大的，因为根据不同的方法，它可能允许攻击者在网络中以与用户相同的方式进行认证，从而使检测变得困难。”

Childs说，这并不像BlueKeep那样危险的漏洞，它也影响了RDP。

“他说：”在你开始回想起BlueKeep之前，这个漏洞影响的是RDP客户端而不是RDP服务器。”然而，CVSS 9.9漏洞是不容忽视的。如果攻击者能够说服受影响的RDP客户端连接到他们控制的RDP服务器，就可以接管一个系统。在Hyper-V服务器上，运行在客户虚拟机中的恶意程序可以通过利用Hyper-V浏览器中的这个漏洞触发客户到主机的RCE。这是更可能发生的情况，也是你应该迅速测试和部署这个补丁的原因。”

Windows打印线轴漏洞–再次出现
最后一个关键漏洞是CVE-2021-36936，这是一个Windows打印线轴RCE漏洞，被列为公开已知。

Print Spooler在上个月成为头条新闻，当时微软修补了它认为是该服务中的一个小的权限提升漏洞（CVE-2021-1675）。但在本周晚些时候，在腾讯和NSFOCUS天极实验室的研究人员发现它可以被用于RCE–需要一个新的补丁之后，该列表被更新。

它还披露了第二个错误，类似于PrintNightmare（CVE-2021-34527）；以及第三个，一个EoP问题（CVE-2021-34481）。

ZDI的Childs说：”又是一个月，打印线轴中的另一个远程代码执行错误，”。”这个漏洞被列为公众所知，但不清楚这个漏洞是PrintNightmare的一个变种，还是它本身的一个独特的漏洞。有相当多的打印池漏洞需要跟踪。无论哪种方式，攻击者都可以利用它在受影响的系统上执行代码。微软确实表示需要低权限，所以这应该把它归入非蠕虫类，但你仍然应该优先测试和部署这个关键等级的漏洞。”

这个关键漏洞只是8月补丁星期二版本中三个打印线轴问题之一。

“布林说：”PrintNightmare的幽灵继续困扰着这个补丁星期二，还有三个打印线轴漏洞，CVE-2021-36947、CVE-2021-36936和CVE-2021-34481。”所有这三个都被列为通过网络的RCE，需要低水平的访问，与PrintNightmare类似。微软已经将这些标记为’更有可能被利用’，如果以前的POC代码发布速度可以说明问题的话，这肯定是真的。”

Windows更新医疗服务中的RCE零日问题
这个被积极利用的漏洞被跟踪为CVE-2021-36948，并被评为重要；它可能为通过Windows 10和Server 2019及更新的操作系统中的Windows Update Medic服务进行RCE铺平道路。

“Update Medic是一项新服务，允许用户从受损状态修复Windows Update组件，使设备能够继续接收更新，”Automox的Jay Goodman解释说。”该漏洞的复杂性很低，而且不需要用户互动就可以利用，这使得这个漏洞很容易被纳入对手的工具箱。”

Immersive公司的布林补充说：”CVE-2021-36948是一个特权升级漏洞–现代入侵的基石，因为它们允许攻击者的访问水平做一些事情，如隐藏他们的足迹和创建用户账户。 在勒索软件攻击的情况下，它们也被用来确保最大限度的破坏”。

虽然该漏洞被报告为被微软在野外利用，但活动似乎仍然有限或有针对性。Kenna Security（现在是思科的一部分）的安全研究主任Jerry Gamblin告诉Threatpost：”我们目前在Kenna Security没有看到任何证据”。

公开已知的Windows LSA欺骗漏洞
第二个公开已知的漏洞（在前面涉及的打印线轴问题之后）被追踪为CVE-2021-36942，它是一个重要的Windows LSA（本地安全局）欺骗漏洞。

“Immersive的Breen说：”它修复了一个可用于从域控制器或其他易受攻击的主机窃取NTLM哈希值的漏洞。”这些类型的攻击在横向移动和特权升级方面是众所周知的，最近一个名为PetitPotam的新漏洞已经证明了这一点。这是一个入侵后的漏洞–在攻击链的下游–但对攻击者来说仍然是一个有用的工具。”

Childs围绕这个漏洞提供了一些背景。

“他说：”微软发布这个补丁是为了进一步防止NTLM中继攻击，通过发布这个更新来阻止LSARPC接口。”这将影响一些系统，特别是Windows Server 2008 SP2，它们使用EFS API OpenEncryptedFileRawA函数。你应该首先将此应用于你的域控制器，并遵循ADV210003和KB5005413中的额外指导。这是自2009年以来一直存在的问题，而且，这可能不是我们最后一次听到这个持续存在的问题”。

微软的下一个补丁星期二将在9月14日。