Microsoft 4月多个安全漏洞
发布时间 2021-04-140x00 漏洞概述
2021年04月13日,Microsoft发布了4月份的安全更新,本次发布的安全更新共计修复了108个安全漏洞,其中有19个漏洞评级为严重,89个漏洞评级为高危,其中包括5个0 day漏洞和4个Microsoft Exchange漏洞。
0x01 漏洞详情
本次发布的安全更新涉及Azure、Microsoft Edge (Chromium-based)、Exchange Server、Microsoft Office、Windows DNS、Windows Kernel、Windows SMB Server和Windows TCP/IP等多个产品和组件。目前,Microsoft已经修复了以下5个0 day漏洞,其中CVE-2021-28310已被在野利用。
RPC端点映射器服务权限提升漏洞(CVE-2021-27091)
该漏洞是Windows注册表中的RPC权限提升漏洞,其CVSS评分7.8,该漏洞无需用户交互即可利用。
Windows NTFS拒绝服务漏洞(CVE-2021-28312)
该漏洞是Windows NTFS系统中的拒绝服务漏洞,其CVSS评分3.3,该漏洞需与用户交互才可利用。
Windows Installer信息泄露漏洞(CVE-2021-28437)
该漏洞是Windows Installer工具中的信息泄露漏洞,其CVSS评分5.5,该漏洞无需用户交互即可利用。
Azure ms-rest-nodeauth库权限提升漏洞(CVE-2021-28458)
该漏洞是Azure ms-rest-nodeauth库中的权限提升漏洞,其CVSS评分7.8,该漏洞无需用户交互即可利用。
Win32k权限提升漏洞(CVE-2021-28310)
该漏洞是Windows驱动文件中的权限提升漏洞,其CVSS评分7.8,该漏洞无需用户交互即可利用。
此外,Microsoft已经发布了2021年4月的Exchange Server安全更新(累积更新,包含Exchange Server 2021年3月的安全更新),以修复NSA发现的4个严重的Microsoft Exchange远程代码执行漏洞,这些漏洞目前尚未被在野利用。其中,CVE-2021-28480和CVE-2021-28481为预身份验证漏洞,攻击者无需进行身份验证即可利用。
CVE ID | 评分 | 名称 | 是否交互 | 影响范围 | 影响版本 |
CVE-2021-28480 | 9.8 | Microsoft Exchange Server远程代码执行漏洞
| 无需用户交互 | Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 | Exchange Server 2013 CU23 Exchange Server 2016 CU19和CU20 Exchange Server 2019 CU8和CU9 |
CVE-2021-28481 | 9.8 | ||||
CVE-2021-28482 | 8.8 | ||||
CVE-2021-28483 | 9.0 |
0x02 处置建议
目前Microsoft已发布相关安全更新,建议尽快修复。
(一) Windows update更新
自动更新:
Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、重启计算机,安装更新系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
(二) 手动安装更新
Microsoft官方下载相应补丁进行更新。
下载链接:
https://msrc.microsoft.com/update-guide/vulnerability
0x03 参考链接
https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2021-patch-tuesday-fixes-108-flaws-5-zero-days/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28480
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2021-exchange-server-security-updates/ba-p/2254617
0x04 时间线
2021-04-13 Microsoft发布安全更新
2021-04-14 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/