通告摘要
|
CVE编号 |
风险等级 |
漏洞名称 |
利用可能 |
|
CVE-2021-33742 |
紧急 |
Windows MSHTML Platform远程代码执行漏洞 |
|
|
CVE-2021-31985 |
紧急 |
Microsoft Defender远程代码执行漏洞 |
N/N/M |
|
CVE-2021-31959 |
紧急 |
Scripting Engine内存损坏漏洞 |
N/N/M |
|
CVE-2021-31963 |
紧急 |
Microsoft SharePoint Server远程代码执行漏洞 |
N/N/L |
|
CVE-2021-33739 |
重要 |
Microsoft DWM Core Library权限提升漏洞 |
Y/Y/D |
|
CVE-2021-31956 |
重要 |
Windows NTFS权限提升漏洞 |
N/Y/D |
|
CVE-2021-31955 |
重要 |
Windows Kernel信息泄露漏洞 |
N/Y/D |
|
CVE-2021-31201 |
重要 |
Microsoft Enhanced Cryptographic Provider 权限提升漏洞 |
N/Y/D |
|
CVE-2021-31199 |
重要 |
Microsoft Enhanced Cryptographic Provider 权限提升漏洞 |
N/Y/D |
|
CVE-2021-31962 |
重要 |
Kerberos AppContainer安全特性绕过漏洞 |
N/N/L |
|
CVE-2021-31954 |
重要 |
Windows Common Log File System Driver权限提升漏洞 |
N/N/M |
|
CVE-2021-31952 |
重要 |
Windows Kernel-Mode Driver权限提升漏洞 |
N/N/M |
|
CVE-2021-31951 |
重要 |
Windows Kernel权限提升漏洞 |
N/N/M |
注:“利用可能”字段包含三个维度(是否公开[Y/N]/是否在野利用[Y/N]/可利用性评估[D/M/L/U/NA])
|
简写 |
定义 |
翻译 |
|
Y |
Yes |
是 |
|
N |
No |
否 |
|
D |
0-Exploitation detected |
0-检测到利用 |
|
M |
1-Exploitation more likely * |
1-被利用可能性极大 |
|
L |
2-Exploitation less likely ** |
2-被利用可能性一般 |
|
U |
3-Exploitation unlikely *** |
3-被利用可能性很小 |
|
NA |
4-N/A |
4-不适用 |
以下6个漏洞已检测到被攻击利用,其中,CVE-2021-33739 Microsoft DWM Core Library权限提升漏洞细节已公开披露。另外,CVE-2021-31968 Windows Remote Desktop Services拒绝服务漏洞细节在漏洞发布时也已经公开:
-
CVE-2021-33742 Windows MSHTML Platform远程代码执行漏洞
-
CVE-2021-33739 Microsoft DWM Core Library权限提升漏洞
-
CVE-2021-31956 Windows NTFS权限提升漏洞
-
CVE-2021-31955 Windows Kernel信息泄露漏洞
-
CVE-2021-31201 Microsoft Enhanced Cryptographic Provider 权限提升漏洞
-
CVE-2021-31199 Microsoft Enhanced Cryptographic Provider 权限提升漏洞
以下5个漏洞被微软标记为“Exploitation More Likely”,这代表这些漏洞更容易被利用:
-
CVE-2021-31985 Microsoft Defender远程代码执行漏洞
-
CVE-2021-31959 Scripting Engine内存损坏漏洞
-
CVE-2021-31954 Windows Common Log File System Driver权限提升漏洞
-
CVE-2021-31952 Windows Kernel-Mode Driver权限提升漏洞
-
CVE-2021-31951 Windows Kernel权限提升漏洞
鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。
-
CVE-2021-33742 Windows MSHTML Platform远程代码执行漏洞(N/Y/D)
-
CVE-2021-33739 Microsoft DWM Core Library权限提升漏洞(Y/Y/D)
-
CVE-2021-31956 Windows NTFS权限提升漏洞(N/Y/D)
-
CVE-2021-31955 Windows Kernel信息泄露漏洞(N/Y/D)
-
CVE-2021-31201 Microsoft Enhanced Cryptographic Provider 权限提升漏洞(N/Y/D)
-
CVE-2021-31199 Microsoft Enhanced Cryptographic Provider 权限提升漏洞(N/Y/D)
-
CVE-2021-31985 Microsoft Defender远程代码执行漏洞(N/N/M)
-
CVE-2021-31959 Scripting Engine内存损坏漏洞(N/N/M)
-
CVE-2021-31954 Windows Common Log File System Driver权限提升漏洞(N/N/M)
-
CVE-2021-31952 Windows Kernel-Mode Driver权限提升漏洞(N/N/M)
-
CVE-2021-31951 Windows Kernel权限提升漏洞(N/N/M)
奇安信CERT对此进行研判,影响较大的9个漏洞(包括3个紧急漏洞和6个重要漏洞)的详细信息如下:
1、CVE-2021-33742 Windows MSHTML Platform远程代码执行漏洞
|
漏洞名称 |
Windows MSHTML Platform远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2021-33742 |
|
公开状态 |
未公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Windows MSHTML Platform存在远程代码执行漏洞,此漏洞影响所有当前支持的 Microsoft Windows 版本。攻击者可通过诱导用户打开特制文件或访问恶意网站来利用此漏洞,目前,该漏洞已检测到在野利用。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-33742 |
|||||
2、CVE-2021-31985 Microsoft Defender远程代码执行漏洞
|
漏洞名称 |
Microsoft Defender远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2021-31985 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Microsoft Defender存在远程代码执行漏洞,此漏洞可能和一月份修复的CVE-2021-1647类似。漏洞需要用户交互,成功利用此漏洞的远程攻击者可在目标系统上执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/ CVE-2021-31985 |
|||||
3、CVE-2021-31963 Microsoft SharePoint Server远程代码执行漏洞
|
漏洞名称 |
Microsoft SharePoint Server远程代码执行漏洞 |
||||
|
漏洞类型 |
远程代码执行 |
风险等级 |
紧急 |
漏洞ID |
CVE-2021-31963 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Microsoft SharePoint Server存在远程代码执行漏洞,经过身份认证的远程攻击者可利用此漏洞可在目标系统上执行任意代码。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31963 |
|||||
4、CVE-2021-33739 Microsoft DWM Core Library权限提升漏洞
|
漏洞名称 |
Microsoft DWM Core Library权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2021-33739 |
|
公开状态 |
已公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Microsoft DWM Core Library存在权限提升漏洞,经过身份认证的攻击者可通过运行特制程序来利用此漏洞进行提权。远程攻击者还可以通过诱导用户打开特制文件来利用此漏洞。该漏洞细节已公开,并检测到在野利用。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-33739 |
|||||
5、CVE-2021-31955 Windows Kernel信息泄露漏洞
|
漏洞名称 |
Windows Kernel信息泄露漏洞 |
||||
|
漏洞类型 |
信息泄露 |
风险等级 |
重要 |
漏洞ID |
CVE-2021-31955 |
|
公开状态 |
未公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Windows 内核 (ntoskrnl.exe) 存在信息泄露漏洞,攻击者可以利用此漏洞从系统中泄露信息,例如内核地址。该漏洞由卡巴斯基研究人员发现,并将其关联到PuzzleMaker Group。该组织将此漏洞与CVE-2021-31956以及Chrome远程代码执行漏洞结合起来,以逃离Chrome沙箱并获取系统权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31955 |
|||||
|
漏洞名称 |
Windows NTFS权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2021-31956 |
|
公开状态 |
未公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Windows NTFS存在权限提升漏洞(ntfs.sys 中基于堆的缓冲区溢出漏洞),经过身份认证的攻击者可通过运行特制程序来利用此漏洞进行提权。远程攻击者可通过诱导用户打开特制文件来利用此漏洞。该漏洞由卡巴斯基研究人员发现,并将其关联到PuzzleMaker Group。该组织将此漏洞与CVE-2021-31955以及Chrome远程代码执行漏洞结合起来,以逃离Chrome沙箱并获取系统权限。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31956 |
|||||
7、Microsoft Enhanced Cryptographic Provider 权限提升漏洞
|
漏洞名称 |
Microsoft Enhanced Cryptographic Provider 权限提升漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
详见描述 |
|
公开状态 |
未公开 |
在野利用 |
已发现 |
||
|
漏洞描述 |
Microsoft Enhanced Cryptographic Provider存在两个权限提升漏洞(CVE-2021-31199、CVE-2021-31201),本地用户可以绕过Microsoft Enhanced Cryptographic Provider实施的安全限制并读取或修改其他受限制的信息。这两个漏洞被攻击者用于与上月修复的Adobe Reader漏洞CVE-2021-28550结合使用,攻击者通过诱导用户打开特制的 PDF(通常附在网络钓鱼电子邮件中)来利用这些漏洞,成功利用这些漏洞的攻击者可获得远程任意代码执行。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31199 https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31201 |
|||||
8、CVE-2021-31962 Kerberos AppContainer安全特性绕过漏洞
|
漏洞名称 |
Kerberos AppContainer安全特性绕过漏洞 |
||||
|
漏洞类型 |
权限提升 |
风险等级 |
重要 |
漏洞ID |
CVE-2021-31962 |
|
公开状态 |
未公开 |
在野利用 |
未发现 |
||
|
漏洞描述 |
Kerberos AppContainer存在安全特性绕过漏洞,CVSS评分为9.4。此漏洞允许远程攻击者绕过Kerberos身份验证来访问通过任意服务主体名称(SPN)访问的任何服务。 |
||||
|
参考链接 |
|||||
|
https://msrc.microsoft.com/update-guide/en-US/vulnerability/ CVE-2021-31962 |
|||||
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的6月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2021-Jun
奇安信天擎终端安全管理系统解决方案
奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2021.06.09.1及以上版本,对内网终端进行补丁更新。
推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2021.06.09.1版本。
控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。
纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。
2021年6月9日,奇安信 CERT发布安全风险通告
本文始发于微信公众号(奇安信 CERT):【安全风险通告】微软6月补丁日多产品高危漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论