已被開採的遠端程式攻擊漏洞CVE-2021-42321,僅影響就地部署的Exchange Server,微軟建議用戶立即進行修補
文/陳曉莉 | 2021-11-10發表
微軟本周二(11/9)展開例行性的Patch Tuesday安全更新,修補了55個安全漏洞,當中有4個屬於零時差漏洞,另有兩個已被開採,還有6個被列為重大(Critical)等級漏洞。已被開採的安全漏洞分別是存在於Microsoft Excel的CVE-2021-42292,以及出現在Microsoft Exchange Server上的CVE-2021-42321。
其中,CVE-2021-42292屬於Excel的安全功能繞過漏洞,微軟並未說明該漏洞的細節;Zero Day Initiative(ZDI)則揣測可能是在使用者開啟特製的檔案並載入程式時,Excel沒能跳出提醒,也建議Mac用戶應該要多加小心,因為微軟尚未修補Mac版的Office。
CVE-2021-42321則為Microsoft Exchange Server的遠端程式攻擊漏洞,微軟特別撰文解釋了該漏洞,指出它是存在於Exchange 2016與2019的身分認證後漏洞,並建議用戶應立即修補它。
該漏洞僅影響就地部署的Exchange Server,包括用於混合部署中的伺服器,至於Exchange Online用戶則無需採取修補行動。
另外4個已被公開揭露,但尚未發現攻擊行動的漏洞,則包括涉及3D Viewer的CVE-2021-43208與CVE-2021-43209,以及涉及Windows遠端桌面協定(RDP)的CVE-2021-38631及CVE-2021-41371。
上述不管是已被或未被開採的零時差漏洞,都僅被微軟列為重要(Important)等級,至於本月修補的重大(Critical)漏洞中,被ZDI點名的則有存在於Virtual Machine Bus(VMBus)的CVE-2021-26443,以及藏匿在RDP伺服器上的CVE-2021-38666 。
CVE-2021-26443允許客座VM上的使用者,透過VMBus傳遞一個特製的通訊予主機OS,以於主機執行任意程式,ZDI從漏洞編號猜測,微軟可能在幾個月前就知道此一漏洞的存在,只是如今才修補。
CVE-2021-38666漏洞則可讓控制RDP伺服器的駭客,在使用者以RDP客戶端程式連至該伺服器時,於客戶端執行任意程式。
圖文來源:iThome https://www.ithome.com.tw/news/147751
