微軟本月修補的安全漏洞中,有4個屬於重大(Critical)等級漏洞,趨勢科技旗下ZDI團隊表示,其中的CVE-2021-31166是個HTTP協定堆疊遠端程式攻擊漏洞,駭客只要傳送一個特製的封包到受影響的伺服器就能開採該漏洞,不必經過授權就能自遠端執行惡意程式,由於Windows 10也能配置成一網頁伺服器,因此同樣受到影響。(圖片來源/ZDI,https://www.zerodayinitiative.com/blog/2021/5/11/the-may-2021-security-update-review)

微軟於5月的Patch Tuesday(5/11)修補了55個安全漏洞,相較於其它月份少了許多,當中有4個屬於重大(Critical)等級漏洞,另有3個為零時差漏洞,其中之一已有攻擊程式現身。

3個零時差漏洞分別為.NET與Visual Studio的權限擴張漏洞CVE-2021-31204,Exchange Server安全功能的繞過漏洞CVE-2021-31207,以及存在於Common Utilities的遠端程式執行漏洞CVE-2021-31200,並已出現鎖定CVE-2021-31200的攻擊程式。

至於4個重大漏洞則是CVE-2021-31166、CVE-2021-28476、CVE-2021-31194與CVE-2021-26419。趨勢科技旗下Zero Day Initiative(ZDI)團隊特別點名了CVE-2021-31166CVE-2021-28476,CVE-2021-31166是個HTTP協定堆疊遠端程式攻擊漏洞,駭客只要傳送一個特製的封包到受影響的伺服器就能開採該漏洞,不必經過授權就能自遠端執行惡意程式,由於Windows 10也能配置成一網頁伺服器,因此同樣受到影響。

CVE-2021-28476為Hyper-V的遠端程式漏洞,其CVSS風險指數高達9.9,也是此次所修補的最嚴重的漏洞,不過,要開採該漏洞來執行任意程式並不容易,微軟認為駭客更容易利用它來執行服務阻斷攻擊。

其它兩個重大漏洞分別牽涉到Object Linking and Embedding(OLE)與腳本引擎,駭客可誘導使用者造訪惡意網站,以開採相關漏洞並執行遠端程式攻擊。

ZDI也提醒Visual Studio用戶應該要優先修補CVE-2021-27068,這是一個無需任何使用者互動就能執行遠端程式攻擊的罕見漏洞,另一個需要注意的是資訊揭露漏洞CVE-2020-24587,因為該漏洞可揭露的是加密無線封包的內容。

熱門新聞


Advertisement