【漏洞资讯】微软补丁日2021年8月11日

GalaxyGalaxy 漏洞资讯 2年前
4.95K 0

漏洞时间:2021年8月11日

 

介绍

微软本次发布的安全更新涉及Azure、Microsoft Edge、Microsoft Office、Windows MSHTML Platform、Windows Print Spooler Components、Windows Services for NFS ONCRPC XDR Driver、Windows TCP/IP和Windows Update等多个产品和组件。其中,Microsoft Edge (Chromium-based)中的7个漏洞评级为未知。在其它44个漏洞中,13个为远程代码执行漏洞,8个为信息泄露漏洞,2个为拒绝服务漏洞,4个为欺骗漏洞。

Microsoft本次发布的安全更新共计修复了3个0 day漏洞,其中有1个在野外被积极利用。2个公开披露但未被利用的0 day漏洞为:

  • CVE-2021-36936 :Windows Print Spooler 远程代码执行漏洞,其CVSSv3评分为8.8,该漏洞的攻击复杂度和所需权限较低,且无需用户交互,Microsoft可利用性评估为”更有可能被利用“。
  • CVE-2021-36942 :Windows LSA 欺骗漏洞(与PetitPotam NTLM 中继攻击有关),其CVSSv3评分为7.5,该漏洞的攻击复杂度低,无需特殊权限和用户交互即可利用,Microsoft可利用性评估为”更有可能被利用“。Microsoft表示,该漏洞影响了所有服务器,建议客户在应用安全更新方面应优先考虑域控制器。

1个已被积极利用的漏洞为:

  • CVE-2021-36948 :Windows Update Medic Service权限提升漏洞,其CVSSv3评分为7.8,该漏洞的攻击复杂度和所需权限较低,且无需用户交互即可本地利用。目前此漏洞暂未公开披露,但微软安全响应中心 (MSRC)和微软威胁情报中心 (MSTIC)已经检测到该漏洞被利用。

7个评级为严重的漏洞为:

  • CVE-2021-34530:Windows 图形组件远程代码执行漏洞
  • CVE-2021-34480:Scripting Engine内存损坏漏洞
  • CVE-2021-34535:Remote Desktop Client远程代码执行漏洞
  • CVE-2021-34534:Windows MSHTML 平台远程代码执行漏洞
  • CVE-2021-36936:Windows Print Spooler 远程代码执行漏洞
  • CVE-2021-26432:Windows Services for NFS ONCRPC XDR Driver远程代码执行漏洞
  • CVE-2021-26424:Windows TCP/IP 远程代码执行漏洞
漏洞名称
 Microsoft补丁8月例行补丁
威胁等级
严重
漏洞威胁
.NET Core & Visual Studio
ASP .NET
Azure
Azure Sphere
Microsoft Azure Active Directory Connect
Microsoft Dynamics
Microsoft Graphics Component
Microsoft Office
Microsoft Office SharePoint
Microsoft Office Word
Microsoft Scripting Engine
Microsoft Windows Codecs Library
Remote Desktop Client
Windows Bluetooth Service
Windows Cryptographic Services
Windows Defender
Windows Event Tracing
Windows Media
Windows MSHTML Platform
Windows NTLM
Windows Print Spooler Components
Windows Services for NFS ONCRPC XDR Driver
Windows Storage Spaces Controller
Windows TCP/IP
Windows Update
Windows Update Assistant
Windows User Profile Service
影响范围
5005030    Windows 10,版本 1809,Windows Server 2019
5005031    Windows 10,版本 1909
5005033    Windows 10,版本 2004,Windows Server,版本 2004,Windows 10,版本 20H2,Windows Server,版本 20H2,Windows 10,版本 21H1
5005040    Windows 10
5005076    Windows 8.1、Windows RT 8.1、Windows Server 2012 R2
5005088    Windows 7 SP1、Windows Server 2008 R2 SP1
5005089    Windows 7 SP1、Windows Server 2008 R2 SP1
5005090    Windows Server 2008 SP2
5005094    Windows Server 2012
5005095    Windows Server 2008 SP2
5005099    Windows Server 2012
5005106    Windows 8.1、Windows RT 8.1、Windows Server 2012 R2
漏洞类型
MORE
利用难度
N/A
漏洞编号
CVE-2021-34534
CVE-2021-26424
CVE-2021-36936
CVE-2021-34530
CVE-2021-34535
CVE-2021-26432
CVE-2021-33762
CVE-2021-34524
CVE-2021-34478
CVE-2021-34486
CVE-2021-34536
CVE-2021-34487
CVE-2021-34537
CVE-2021-26423
CVE-2021-26425
CVE-2021-26426
CVE-2021-26428
CVE-2021-26429
CVE-2021-26430
CVE-2021-36937
CVE-2021-36938
CVE-2021-36942
CVE-2021-36940
CVE-2021-36941
CVE-2021-36945
CVE-2021-36946
CVE-2021-36947
CVE-2021-36948
CVE-2021-36949
CVE-2021-36950
CVE-2021-34471
CVE-2021-34532
CVE-2021-34533
CVE-2021-34483
CVE-2021-34484
CVE-2021-34485
CVE-2021-26431
CVE-2021-26433
CVE-2021-36926
CVE-2021-36927
CVE-2021-36932
CVE-2021-36933
CVE-2021-36943
是否有POC

 

机翻:

Windows 10 更新是累积性的。除了非安全更新外,每月安全版本还包括针对影响 Windows 10 的漏洞的所有安全修复程序。更新可通过Microsoft 更新目录获得。有关 Windows 10 操作系统的生命周期和支持日期的信息,请参阅Windows 生命周期情况说明书。

值得重点关注的安全漏洞包括:

CVE-2021-26424:Windows TCP/IP 远程执行代码漏洞

恶意的 Hyper-V 来宾向 Hyper-V 主机发送 ipv6 ping 可远程触发此漏洞。攻击者可利用 TCPIP 协议栈 (TCPIP.sys) 来处理数据包,然后将一个经过特殊设计的 TCPIP 数据包发送给它的主机。

CVSS评分:9.9

该漏洞细节未公开,未检测到攻击利用,利用评估为:有可能被利用。

参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26424

 

CVE-2021-26432:NFS ONCRPC XDR Driver 的 Windows 服务远程代码执行漏洞

该漏洞细节未公开,未检测到攻击利用,利用评估为:有可能被利用。

CVSS评分:9.8

参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26432

 

CVE-2021-34535:远程桌面客户端远程执行代码漏洞

对于远程桌面连接,控制远程桌面服务器的攻击者可以通过远程桌面客户端在客户端计算机上触发远程代码执行(RCE)。对于Hyper-V,来宾VM中运行的恶意程序可以通过Hyper-V Viewer中的这个漏洞触发来宾到主机的 RCE。

CVSS评分:8.8

该漏洞细节未公开,未检测到攻击利用,利用评估为:有可能被利用。

参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34535

 

CVE-2021-36942:Windows LSA 漏洞

未经身份验证的攻击者可调用 LSARPC 接口上的方法,并强迫域控制器使用 NTLM 对另一个服务器进行身份验证。此安全更新程序可阻止 LSARPC 接口。

CVSS评分:7.5

此漏洞影响所有服务器,但在应用安全更新时应优先更新域控制器。

该漏洞细节已公开,已检测到在野攻击利用,利用评估为:更有可能被利用。

国外科技媒体报道的漏洞攻击事件:

https://thehackernews.com/2021/07/new-petitpotam-ntlm-relay-attack-lets.html

更多信息,可参阅:

ADV210003 缓解对 Active Directory 证书服务 (AD CS) 的 NTLM 中继攻击https://msrc.microsoft.com/update-guide/vulnerability/ADV210003

KB5005413: Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)

https://support.microsoft.com/zh-cn/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36942

 

CVE-2021-36936:Windows 打印后台处理程序远程执行代码漏洞

Windows打印后台处理程序中存在远程代码执行漏洞,该漏洞允许有低权限的攻击者在无需用户交互的情况下在目标主机远程执行代码。

CVSS评分:8.8

该漏洞细节已公开,未检测到在野攻击利用,利用评估为:更有可能被利用。

参考链接:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36936

 

本文原创,作者:Galaxy,其版权均为Galaxy Lab所有。如需转载,请注明出处:http://galaxylab.pingan.com.cn/%e3%80%90%e6%bc%8f%e6%b4%9e%e8%b5%84%e8%ae%af%e3%80%91%e5%be%ae%e8%bd%af%e8%a1%a5%e4%b8%81%e6%97%a52021%e5%b9%b48%e6%9c%8811%e6%97%a5/
Galaxy官方
Galaxy

平安集团安全部银河实验室官方博客

65篇文章 46.14W总阅读量

发表评论

CAPTCHA

*