微软8月10日(本周二)推出了安全更新,以解决影响其软件产品和服务的总共 44 个安全问题,其中一个是自然环境下被利用的零日漏洞。
本次更新是自 2019 年 12 月以来的最小版本,它消除了 Windows、.NET Core 和 Visual Studio、Azure、Microsoft 图形组件、Microsoft Office、Microsoft 脚本引擎、Microsoft Windows 编解码器库、远程桌面客户端中的 7 个关键错误和 37 个重要错误。这也是它于 8 月 5 日在 Microsoft Edge 浏览器中修补的七个安全漏洞的补充。
修补问题中的主要问题是CVE-2021-36948(CVSS 评分:7.8),这是一个影响 Windows Update Medic Service 的特权提升漏洞——该服务可以修复和保护 Windows Update 组件——可能被滥用以运行恶意程序升级的权限。
微软的威胁情报中心因报告了该漏洞而受到赞誉,尽管该公司没有分享更多细节或细节,说明这些攻击在积极的利用企图中的广泛程度。
其中两个安全漏洞在发布时已为公众所知
- CVE-2021-36942(CVSS 评分:9.8)——Windows LSA 欺骗漏洞
- CVE-2021-36936(CVSS 分数:8.8)——Windows Print Spooler 远程代码执行漏洞
虽然 CVE-2021-36942 包含通过阻止 LSARPC 接口来保护系统免受 NTLM 中继攻击(如PetitPotam)的修复程序,但 CVE-2021-36936 解决了 Windows Print Spooler 组件中的另一个远程代码执行缺陷。
“未经身份验证的攻击者可以调用 LSARPC 接口上的方法,并强制域控制器使用 NTLM 对另一台服务器进行身份验证,”微软在其针对 CVE-2021-36942 的公告中表示;添加“安全更新阻止受影响的 API 通过 LSARPC 接口调用 OpenEncryptedFileRawA 和 OpenEncryptedFileRawW”。
CVE-2021-36936 也是微软本月修复的 Print Spooler 服务的三个漏洞之一,另外两个漏洞是CVE-2021-36947和(CVSS 评分:8.2)和CVE-2021-34483(CVSS得分:7.8),后者涉及提权漏洞。
此外,微软还发布了安全更新,以解决先前披露的打印后台处理程序服务中的远程代码执行问题,跟踪为CVE-2021-34481(CVSS 评分:8.8)。这改变了“即点即印”功能的默认行为,有效地防止非管理员用户使用来自远程计算机或服务器的驱动程序安装或更新新的和现有的打印机驱动程序,而无需先将自己提升为管理员。
作为补丁星期二更新的一部分修复的另一个严重缺陷是CVE-2021-26424(CVSS 评分:9.9),这是 Windows TCP/IP 中的一个远程代码执行漏洞,微软指出“可以由恶意 Hyper-V 来宾发送远程触发ipv6 ping 到 Hyper-V 主机。攻击者可以使用 TCP/IP 协议栈 (tcpip.sys) 向其主机发送特制的 TCP/IP 数据包来处理数据包。”
