|
从微软官方信息了解到,4月份Microsoft在Microsoft Windows、Edge(基于Chromium)、Azure和Azure DevOps Server、Microsoft Office、SharePoint Server、Hyper-V、Team Foundation Server、Visual Studio和Exchange Server中发布了114个CVE的修补程序。微软今年以来处理的CVE数量最多的一个月,比去年四月同期略有增加。前几天,国际黑客大赛Pwn2Own竞赛中,黑客第一天就通过攻击验证微软产品,获得高达44万美元的奖励。 
Microsoft推出了针对总共114个安全漏洞的修补程序,其中包括在Exchange Server中积极利用的零日漏洞和4个远程代码执行错误。有19个评为“危急”,有88个为“重要”,其中1个为“严重”,有6个漏洞影响Edge(基于Chromium)。 其中最主要的漏洞是CVE-2021-28310,它是Win32k中的一个特权升级漏洞,据说正在积极利用中,它使攻击者可以通过在目标系统上运行恶意代码来提升特权。网络安全公司卡巴斯基(Kaspersky)于2月份发现并向Microsoft报告了该漏洞,并将零日漏洞利用与名为Bitter APT的威胁行为者联系起来,后者在去年的攻击中被发现利用类似的漏洞(CVE-2021-1732)。
NSA发现影响Exchange Server的新错误Microsoft还修复了影响美国本地安全服务器2013、2016和2019的四个远程代码执行(RCE)漏洞(CVE-2021-28480至CVE-2021-28483),这些漏洞由美国国家安全局(NSA)报告给该公司。其中两个未经身份验证代码执行错误,无需用户交互,并且CVSS评分为9.8(最高为10)。鉴于上个月Exchange Server受到广泛攻击,因此建议客户尽快安装这些更新以保护环境。尝试利用ProxyLogon漏洞将恶意加密矿工部署到Exchange Server上,而有效负载则托管在受损的Exchange Server上。美国网络安全和基础设施安全局(CISA)还修订了上个月发布的紧急指令,指出“这些漏洞给联邦企业带来了不可接受的风险,需要立即采取紧急措施”,同时警告说潜在的缺陷可能是通过对补丁进行反向工程来创建漏洞利用工具。Windows Installer一个信息泄露错误,是本月的最后一个众所周知的错误。如果被利用,可能允许攻击者未经授权的文件系统访问。本月总共有17个信息泄露错误补丁,并且大多数漏洞仅由未指定的内存内容引起。一个例外是影响Azure DevOps服务器的错误。如果利用此漏洞,则可能泄漏管道配置变量和机密。Excel中也有一个信息泄露错误的修补程序。攻击者需要使用Excel打开特制文件才能受到影响。
除了微软之外,其他厂商也各自发布了安全漏洞更新,其中包括以下厂商: Adobe (security updates for Photoshop、 Digital Editions、 RoboHelp, and Bridge) DELL Linux distributions SUSE、 Oracle Linux、 and Red Hat SAP Schneider Electric Siemens
|
