漏洞概要
2021年4月14日(北京时间),微软发布了安全更新,共发布了108个CVE的补丁程序,同比上月增加了19个,涵盖了Microsoft的众多组件和软件。
在漏洞安全等级方面,有19个漏洞被微软官方标记为“Critical”,88个漏洞被标记为“Important”; 在漏洞类型方面,有56个远程代码执行漏洞,19个权限提升漏洞,9个拒绝服务漏洞以及17个信息泄露漏洞。
漏洞数据分析
1 2021漏洞数量趋势
截至2021年4月,微软在各月修复的漏洞数量以及各月严重漏洞数量如下所示:
总体上来看,微软本月修复的漏洞数量增加到了108个,相较于上月增加了19个漏洞。
千里目安全实验室在综合考虑往年微软公布漏洞数量的数据统计和今年的特殊情况,初步估计微软在今年5月份公布的漏洞数将有小幅度提升。严重类型漏洞数也会维持在108到120个左右。
2 历史微软补丁日4月漏洞对比
2018-2021年,4月份的漏洞数趋势如下图:
2018-2021年,4月份的漏洞危险等级趋势和数量如下图:
2018-2021年,4月份的漏洞各个类型数量对比如下图:
- 从漏洞数量来看,今年出现了一定程度的降低。
微软在2021年4月份爆发的漏洞相较于去年有一定的下降,一方面是由于在软件及系统缓解措施的增加,致使一些组件相较于往年更难利用,另一方面是因为一些常用组件的常见低级漏洞更难进行挖掘,漏洞挖掘的门槛逐渐提升,对相关从业人员的技术要求有较高要求。
- 从漏洞的危险等级来看,“Important”等级漏洞数量维持不变。
单个的重点高可利用漏洞数量相对平衡,但单个具有普通影响力的漏洞明显增多,这加大了严重漏洞对普通用户的危害。这种趋势,对于APT组织或成熟的攻击组织来说是一个利好消息,大幅度增加的单个严重漏洞提供了诸多的攻击路径和攻击手段组合的选择。
- 从漏洞类型来看,权限提升漏洞(EoP)大幅降低。
远程代码执行漏洞(RCE)数量相较于前两年有一定增加,其他漏洞类型的数量与往年相比差别不大。权限提升漏洞(EoP)虽然数量降低,但仍需要引起高度重视,尤其是在配合社工手段的前提下,甚至可以直接接管整个局域网并进行进一步扩展攻击。远程代码执行漏洞(RCE)一定数量的增加,这对于攻击者而言是个好消息,因为一般来说RCE漏洞相较于EOP漏洞更具危害性。远程代码执行漏洞有利于攻击者更容易的获取受害者机器的执行权限,对于普通用户以及企业来说,远程代码执行类型的漏洞是危害比较大的。跨站脚本漏洞(XSS)数量显著降低,各大网站的安全性在护网行动的督促下得到提升。
4月重要漏洞分析
1 漏洞分析
(一)Exchange Server: CVE-2021-28481、CVE-2021-28480
Exchange Server是一个邮件服务器产品,提供了通常所需要的全部邮件服务功能。除了常规的 SMTP/POP 协议服务之外,它还支持基于 Web 浏览器的邮件访问。
- CVE-2021-28481、CVE-2021-28480
Microsoft Exchange Server 中存在远程代码执行漏洞,攻击者可以利用该漏洞构造恶意代码。我们建议用户及时更新微软安全补丁。
(二)Windows Win32k:CVE-2021-27072、CVE-2021-28442
Win32k 是Windows内核中提供gui相关功能的内核模块,进程绝大部分gui相关的操作由Win32k模块进行处理。
- CVE-2021-27072
该漏洞是由于UAF导致的任意地址写漏洞,攻击者可利用该漏洞获得权限的情况下,构造恶意数据执行本地权限提升攻击,最终获取服务器最高权限。
- CVE-2021-28442
该漏洞是由于数组索引越界导致的任意地址写漏洞,攻击者可利用该漏洞在获得权限的情况下,构造恶意数据执行本地权限提升攻击,最终获取服务器最高权限。
目前 CVE-2021-28310 已存在在野利用,我们建议用户及时更新微软安全补丁。
(三)Windows TCP/IP: CVE-2021-28319, CVE-2021-28442。
TCP/IP提供了点对点链接的机制,将资料应该如何封装、寻址、传输、路由以及在目的地如何接收,都加以标准化。
- CVE-2021-28319
Windows 网络驱动 NDIS.sys 在验证用户输入时抛出了异常,导致本机蓝屏,利用该漏洞攻击者可以造成远程windows计算机的拒绝服务。
- CVE-2021-28442
Windows TCP/IP 存在信息泄露漏洞,攻击者可以利用该漏洞泄露系统数据。我们建议用户及时更新微软安全补丁。
(四)Windows SMB: CVE-2021-28324, CVE-2021-28325
SMB主要功能是使网络上的机器能够共享计算机文件、打印机、串行端口和通讯等资源。它也提供经认证的进程间通信机能。
- CVE-2021-28324、CVE-2021-28325
Windows SMB 中存在信息泄露漏洞,攻击者可以利用该漏洞泄露系统数据。我们建议用户及时更新微软安全补丁。
2 影响范围
3 修复建议
微软官方已更新受影响软件的安全补丁,用户可根据不同版本系统下载安装对应的安全补丁,安全更新链接如下:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-28319
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-28442
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-28324
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-28325
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-27072
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-28310
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-28480
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-28481
参考链接
https://msrc.microsoft.com/update-guide/releaseNote/2021-Apr
https://www.zerodayinitiative.com/blog/2021/4/13/the-april-2021-security-update-review
时间轴
2021/4/14 微软例行补丁日,微软官网发布漏洞安全公告。
2021/4/14 深信服千里目安全实验室发布安全更新通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):微软补丁日安全通告|4月份
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论