又到每月的漏洞補(bǔ)丁日了，很多國際廠商和微軟一樣，喜歡在周二發(fā)布其產(chǎn)品安全補(bǔ)丁，如Adobe、Android、Cisco、Citrix、Intel、Linux distributions Oracle Linux, Red Hat, SUSE、Samba、SAP、Schneider Electric、Siemens等。而這次微軟為其產(chǎn)品的55個漏洞發(fā)布了補(bǔ)丁，產(chǎn)品涉及 Microsoft Windows 和 Windows 組件、Azure、Azure RTOS、Azure Sphere、Microsoft Dynamics、Microsoft Edge（基于 Chromium）、Exchange Server、Microsoft Office 和 Office 組件、Windows Hyper-V等，其中包括對 Excel 和 Exchange Server 中兩個被積極利用的零日漏洞的修復(fù)。可能會被濫用以控制受影響的系統(tǒng)。

　　從歷史上看，今年的11 月份的 55 個補(bǔ)丁是一個相對較低的數(shù)字。去年，涉及的CVE漏洞數(shù)量則多的多，回到 2018 年全年僅修復(fù) 691 個 CVE 的情況，但當(dāng)年11 月修復(fù)的 CVE 也比本月更多。鑒于 12 月通常是補(bǔ)丁方面較慢的月份，因此人們懷疑是否由于各種因素導(dǎo)致等待部署的補(bǔ)丁積壓。多年來，微軟在整個行業(yè)中只看到增加的補(bǔ)丁后，發(fā)布更少的補(bǔ)丁似乎很奇怪。

　　國外安全媒體在介紹Exchange Server 漏洞時，提到也是上個月在我國天府杯上展示的漏洞之一，最關(guān)鍵的漏洞是CVE-2021-42321（CVSS 評分：8.8）和CVE-2021-42292（CVSS 評分：7.8），每個都涉及Microsoft Exchange Server 中的認(rèn)證后遠(yuǎn)程代碼執(zhí)行漏洞和安全繞過漏洞分別影響 Microsoft Excel 版本 2013-2021。在 55 個漏洞中有6 個被評為嚴(yán)重，49 個為重要，另外 4 個在發(fā)布時被列為公開已知。

　　微軟今年早些時候曾經(jīng)警告說 APT Group HAFNIUM 正在利用Microsoft Exchange 服務(wù)器中的四個零日漏洞，這演變成 DearCry Ransomware 對 Exchange 服務(wù)器漏洞的利用——包括對傳染病研究人員、律師事務(wù)所、大學(xué)、國防承包商、政策智囊團(tuán)和非政府組織的攻擊。諸如此類的實(shí)例進(jìn)一步強(qiáng)調(diào)了 Microsoft Exchange 服務(wù)器是高價值目標(biāo)希望滲透關(guān)鍵網(wǎng)絡(luò)的黑客。

　　四個公開披露但未被利用的漏洞——

　　CVE-2021-43208（CVSS 評分：7.8）——3D 查看器遠(yuǎn)程代碼執(zhí)行漏洞

　　CVE-2021-43209（CVSS 評分：7.8）——3D 查看器遠(yuǎn)程代碼執(zhí)行漏洞

　　CVE-2021-38631（CVSS 評分：4.4）——Windows 遠(yuǎn)程桌面協(xié)議 （RDP） 信息泄露漏洞

　　CVE-2021-41371（CVSS 評分：4.4）——Windows 遠(yuǎn)程桌面協(xié)議 （RDP） 信息泄露漏洞

　　首先是三個可能導(dǎo)致信息泄露的 Azure RTOS 補(bǔ)丁，盡管微軟沒有說明可以泄露什么類型的信息。同樣，需要重新編譯和重新部署才能阻止惡意 USB 攻擊。更令人不安的是，RDP 中有兩個公開的信息披露錯誤，可能允許 RDP 管理員讀取訪問 Windows RDP 客戶端密碼。

　　FSLogix 中修復(fù)了一個信息披露錯誤，可能允許攻擊者泄露通過 FSLogix 云緩存重定向到配置文件或 Office 容器的用戶數(shù)據(jù)，其中包括用戶配置文件設(shè)置和文件。令人驚訝的是，10 個信息披露錯誤中只有一個會導(dǎo)致由未指定內(nèi)存內(nèi)容組成的泄漏。

　　三個信息披露會影響 Azure Sphere 設(shè)備，但如果這些設(shè)備連接到 Internet，它們應(yīng)該會自動接收更新。Azure Sphere 中還修復(fù)了一個篡改錯誤，但同樣，如果已連接到 Internet，則無需采取任何措施。

　　沒有權(quán)限的遠(yuǎn)程攻擊者可以在所有受支持的 Windows 版本（包括 Windows 11）上創(chuàng)建 DoS。目前尚不清楚這是否會導(dǎo)致系統(tǒng)掛起或重啟，但無論哪種方式，都不要繞過這種有影響力的 DoS。另外兩個 DoS 錯誤會影響 Hyper-V，其中之一需要啟用 GRE。

　　除了已經(jīng)提到的 Excel 錯誤之外，11 月僅修復(fù)了一個其他安全功能繞過 （SFB），會影響 Windows 10 和 Server 2019 系統(tǒng)上的 Windows Hello。沒有提供詳細(xì)信息，但僅從組件和影響來看，似乎有一種方法可以在不使用 PIN、面部識別或指紋的情況下訪問受影響的系統(tǒng)。如果您使用此功能進(jìn)行身份驗(yàn)證，您可能需要禁用它，直到您確定所有受影響的系統(tǒng)都已修補(bǔ)。

　　最后，11 月發(fā)布的版本包含對四個欺騙錯誤的修復(fù)，其中一個針對 Exchange，當(dāng)您尋找它時必須很明顯，因?yàn)槲④洺姓J(rèn)八位不同的研究人員都報(bào)告了它。當(dāng)然，他們沒有提供有關(guān)此補(bǔ)丁、其他 Exchange 欺騙錯誤或在 IE 模式下通過 Edge（基于 Chrome 的）欺騙錯誤修復(fù)的欺騙類型的信息。Microsoft 確實(shí)聲明 Power BI 報(bào)表服務(wù)器的修復(fù)程序解決了模板文件中的跨站點(diǎn)腳本 （XSS） 和跨站點(diǎn)請求偽造 （CSRF） 漏洞。