了解金山云最新公告
2021-04-14 00:00:00
4月14日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到微軟官方發(fā)布4月安全更新。本次更新發(fā)布了114個(gè)漏洞的補(bǔ)丁,其中包含19個(gè)嚴(yán)重漏洞和88個(gè)高危漏洞,涉及多個(gè)組件,包括:Windows操作系統(tǒng)、Exchange Server、Azure、Office、SharePoint Server、Hyper-V、 Visual Studio和基于Chromium內(nèi)核的Edge。
本次更新的漏洞風(fēng)險(xiǎn)嚴(yán)重,部分漏洞可能造成蠕蟲(chóng)級(jí)漏洞的危害,部分漏洞細(xì)節(jié)已公開(kāi)且已出現(xiàn)在野利用,建議Windows用戶及時(shí)更新補(bǔ)丁,避免遭受惡意攻擊。
漏洞描述
Exchange Server遠(yuǎn)程命令執(zhí)行漏洞
本次更新了4個(gè)蠕蟲(chóng)級(jí)別的遠(yuǎn)程命令執(zhí)行漏洞,被標(biāo)記為“更容易被利用”,漏洞編號(hào)分別為CVE-2021-28480、CVE-2021-28481、CVE-2021-28482、CVE-2021-28483。利用這些漏洞,攻擊者可以繞過(guò)Exchange身份驗(yàn)證,且不需要用戶交互操作即可遠(yuǎn)程執(zhí)行命令。攻擊者利用該漏洞,可以實(shí)現(xiàn)內(nèi)網(wǎng)Exchange服務(wù)器間橫向擴(kuò)散。本次更新的漏洞的實(shí)際危害程度遠(yuǎn)高于微軟3月補(bǔ)丁中修復(fù)的Exchange遠(yuǎn)程代碼執(zhí)行漏洞。
受影響的版本為:Exchange Server 2013/2016/2019
CVE-2021-28310:Win32k特權(quán)提升漏洞
該漏洞細(xì)節(jié)已公開(kāi)且已經(jīng)出現(xiàn)在野攻擊。經(jīng)過(guò)本地身份驗(yàn)證的攻擊者成功利用該漏洞可在目標(biāo)主機(jī)上以SYSTEM權(quán)限執(zhí)行任意代碼。
Windows SMB信息泄露漏洞
Windows SMB存在兩個(gè)信息泄露漏洞,利用此漏洞遠(yuǎn)程攻擊者可以訪問(wèn)潛在的敏感信息。這兩個(gè)漏洞被標(biāo)記為“更容易被利用”,漏洞編號(hào)為:CVE-2021-28324、CVE-2021-28325。其中,漏洞CVE-2021-28324的利用不需要身份驗(yàn)證,即未經(jīng)授權(quán)的攻擊者可以訪問(wèn)系統(tǒng)上的敏感信息。
CVE-2021-28319: Windows TCP/IP Driver拒絕服務(wù)漏洞
該漏洞可是遠(yuǎn)程攻擊者執(zhí)行拒絕服務(wù)(DoS)攻擊。由于Windows TCP/IP驅(qū)動(dòng)程序?qū)τ脩籼峁┑妮斎氲尿?yàn)證不足,遠(yuǎn)程攻擊者可以將特制的輸入傳遞給應(yīng)用程序,從而導(dǎo)致目標(biāo)系統(tǒng)拒絕服務(wù)。
多個(gè)運(yùn)行時(shí)RPC調(diào)用遠(yuǎn)程代碼執(zhí)行漏洞
本月補(bǔ)丁中有27個(gè)漏洞為此類漏洞,其中包括12個(gè)嚴(yán)重漏洞,15個(gè)高危漏洞。成功利用這些漏洞的攻擊者可以在另外一個(gè)用戶的上下文中執(zhí)行代碼,并造成遠(yuǎn)程代碼執(zhí)行的效果。
已經(jīng)公開(kāi)漏洞細(xì)節(jié)的漏洞
CVE-2021-27091:RPC 終點(diǎn)映射程序服務(wù)特權(quán)提升漏洞
CVE-2021-28312:Windows NTFS 拒絕服務(wù)漏洞
CVE-2021-28437:Windows Installer 信息泄露漏洞
CVE-2021-28458:Azure ms-rest-nodeauth 庫(kù)特權(quán)提升漏洞
修復(fù)建議
Windows自動(dòng)更新(推薦)
手動(dòng)更新
微軟官網(wǎng)已發(fā)布安全補(bǔ)丁修復(fù)以上漏洞,用戶也可自行安裝符合操作系統(tǒng)版本的漏洞補(bǔ)丁。
下載地址:https://msrc.microsoft.com/update-guide/releaseNote/2021-Apr
參考鏈接:
[1] https://msrc.microsoft.com/update-guide/releaseNote/2021-Apr
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021年4月14日