微軟3月Patch Tuesday修補89個安全漏洞，有5個已被開採

微軟於周二（3/9）的3月Patch Tuesday修補了89個安全漏洞，當中有14個被列為重大（Critical）等級。在此次的修補中，有2個漏洞已被公開，另有5個漏洞已經遭到駭客開採。

本月的修補數量計入了微軟日前緊急修補的7個Exchange Server漏洞，涵蓋CVE-2021-26855、CVE-2021-26857、CVE-2021-27065、CVE-2021-26858、CVE-2021-26412、CVE-2021-26854及CVE-2021-27078，其中，前4個漏洞已遭駭客開採，微軟點名開採這4個漏洞的就是中國駭客組織Hafnium，而資安部落格KrebsonSecurity則引述消息來源報導，至少有3萬個美國組織因此而受害，駭客的主要目的為竊取受害組織的電子郵件。

除了上述4個Exchange Server漏洞之外，已經被開採的還有CVE-2021-26411，這是存在於IE 11與Microsoft Edge Legacy中的記憶體毀損漏洞，駭客只要誘導使用者瀏覽特製的HTML檔案，就有機會取得使用者權限於遠端執行任意程式，Zero Day Initiative（ZDI）建議，最好不要使用具管理員權限的帳號來瀏覽網頁。

另一資安業者Tenable則說明，CVE-2021-26411其實在今年2月就被ENKI揭露，且日前北韓駭客鎖定資安研究人員展開攻擊的行動中，據說便開採了該漏洞。

由於CVE-2021-26411的概念性驗證攻擊程式已經現身，使得各家資安業者呼籲用戶應儘速修補。

其它受到關注的漏洞還包括已被公開揭露的CVE-2021-27077，它是一個存在於Win32K的權限擴張漏洞，由於僅允許本地端駭客開採，因此只被列為重要（Important）等級，不過，坊間已出現該漏洞的概念性驗證程式。

另一個則是CVSS風險等級高達9.8的CVE-2021-26897，它藏匿在Windows DNS Server中，除了允許駭客執行遠端程式攻擊，也可能造成蠕蟲感染，而被ZDI列為應優先修補的漏洞。