找回密码
 注册创意安天

漏洞风险提示(20211216)

[复制链接]
发表于 2021-12-16 09:21 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 Microsoft 12月多个安全漏洞
一、漏洞描述:
        windows.png
        Windows 是Microsoft生产的一系列个人计算机操作系统,是Windows NT系列操作系统的一部分。它于2015年7月29日发布。Windows 10持续不断地发布新版本,用户无需支付额外费用。截至2017年11月,该操作系统在超过6亿台设备上运行。
        近日,Microsoft发布了12月份的安全补丁,修复了67个安全问题,涉及Windows、Microsoft Office、Microsoft Visual Studio、Microsoft PowerShell等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型,包括7个严重漏洞。其中重要漏洞如下:
        【重大安全漏洞】
        1、CVE-2021-43890 Windows AppX Installer欺骗漏洞
        漏洞类型:代码执行
        简述:攻击者可通过制作恶意的数据包,当成功诱导用户在受影响的系统上打开恶意文件后,拥有低权限的攻击者可实现权限提升,导致在目标系统上以用户权限执行任意代码。目前该漏洞已监测到在野利用,正在被武器化用来传播 Emotet、Trickbot、Bazaloader等恶意软件。

        2、CVE-2021-43883 Windows Installer权限提升漏洞
        漏洞类型:权限提升
        简述:该漏洞为Windows Installer权限提升漏洞(CVE-2021-41379)的补丁绕过。普通用户权限的本地攻击者可利用该漏洞提升至SYSTEM 权限

        3、CVE-2021-43215 iSNS Server内存损坏漏洞
        漏洞类型:内存损坏
        简述:Internet 存储名称服务 (iSNS) 协议用于 iSNS 服务器和 iSNS 客户端之间的交互。未经身份验证的攻击者利用该漏洞向iSNS Server发送特制恶意请求,最终导致在目标服务器上执行任意代码。

        4、CVE-2021-43905 Microsoft Office app远程代码执行漏洞
        漏洞类型:远程代码执行
        简述:攻击者可通过制作恶意的数据包,当成功诱导用户在受影响的系统上打开恶意文件后,可导致在目标系统上以用户权限执行任意代码。

        5、CVE-2021-43233 Remote Desktop Client远程代码执行漏洞
        漏洞类型:远程代码执行
        简述:攻击者可以通过社会工程、DNS 中毒或MITM技术来诱导受害者与已被控制的服务器相连接;除此以外,攻击者还可以破坏合法服务器,在服务器上托管恶意代码,然后等待用户连接。成功利用该漏洞,可导致攻击者在目标系统上执行任意代码。

        6、CVE-2021-41333 Windows Print Spooler权限提升漏洞
        漏洞类型:权限提升
        简述:经过身份验证的本地攻击者利用该漏洞在目标系统上以SYSTEM权限执行任意代码。

        7、CVE-2021-43907 Visual Studio Code WSL Extension 远程代码执行漏洞
        漏洞类型:远程代码执行
        简述:Visual Studio Code WSL 扩展组件受该漏洞影响。未经身份验证的攻击者利用该漏洞可在目标系统以用户权限执行任意代码,且无需用户交互。

        8、CVE-2021-43899 Microsoft 4K Wireless Display Adapter远程代码执行漏洞
        漏洞类型:远程代码执行
        简述:未经身份验证的攻击者利用该漏洞向目标系统发送特制的数据包,最终导致在目标系统上以用户权限执行任意代码,且无需用户交互。

        9、CVE-2021-42310 Microsoft Defender for IoT远程代码执行漏洞
        漏洞类型:远程代码执行
        简述:在密码重置请求中,由于中间证书与设备内置的根CA证书两者链接过程存在缺陷,攻击者可利用该缺陷重置他人密码,最终导致在目标系统上以用户权限执行任意代码。

        10、CVE-2021-43217 Windows Encrypting File System (EFS)远程代码执行漏洞
        漏洞类型:远程代码执行
        简介:加密文件系统(EFS)是一个基于数字认证的加密方式,它允许用户可以仅针对单个文件或者单个文件夹进行加密,以保护数据的机密性。攻击者可利用该漏洞造成缓冲区溢出,从而导致执行任意代码。

        11、CVE-2021-43880 Windows Mobile Device Management权限提升漏洞
        漏洞类型:权限提升
        简介:普通用户权限的本地攻击者可利用该漏洞提升至SYSTEM权限。

二、风险等级:
          高危
三、影响范围:
        Windows 11
        Windows 10
        Windows Server 2022
        Windows Server version 20H2
        Windows Server version 2004
        Windows Server 2019
        Windows Server 2016
        Windows Server 2012 R2
        Windows Server 2012
        Windows Server 2008 R2
        Windows Server 2008
        Windows RT 8.1
        Windows 8.1
        Windows 7
        Microsoft Visual Studio
        Microsoft 4K Wireless Display Adapter
        Microsoft Office app
        App Installer

四、修复建议:
        用以下官方解决方案及缓解方案来防护此漏洞:
        Windows自动更新
        应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。
        Windows Server / Windows 检测并开启Windows自动更新流程如下:
        1、点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
        2、点击控制面板页面中的“系统和安全”,进入设置。
        3、在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
        4、然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)。

        手动更新
        对于不能自动更新的系统版本,可参考以下链接下载适用于该系统补丁并安装:
        https://msrc.microsoft.com/update-guide/releaseNote/2021-Dec



2 AjaxPro.NET反序列化漏洞(CVE-2021-23758)
一、漏洞描述:
        ajax.jpg
        Ajax.NET Professional (AjaxPro) 是最早可用于 Microsoft ASP.NET 的 AJAX 框架之一。该框架将创建代理 JavaScript 类,用于在客户端调用 Web 服务器上的方法,并具有适用于所有常见 Web 浏览器(包括移动设备)的完整数据类型支持。
        由于任意 .NET 类可能被反序列化,因此所有版本的 ajaxpro.2 包都容易受到反序列化不可信数据的影响,这些类可能被滥用以获取远程代码执行。由于限制检查不严格,导致任意 .NET 类可能被反序列化,因此AjaxPro.NET v21.12.8.1之前的版本容易受到反序列化不可信数据的影响,这些类可能被滥用以获取远程代码执行。

二、风险等级:
          高危
三、影响范围:
        package ajaxpro.2 < v21.12.8.1
四、修复建议:
        厂商已发布升级修复漏洞,用户请尽快更新至安全版本。下载地址:
        https://github.com/michaelschwar ... ases/tag/v21.12.8.1



3 Apache Log4j任意代码执行漏洞(CVE-2021-44228)
一、漏洞描述:
        log4.png
        Apache Log4j 是Apache的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。
        经过分析,Log4j2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

二、风险等级:
          高危
三、影响范围:
        Apache Log4j 2.0 beta9 - 2.12.1
        Apache Log4j 2.13.0 - 2.14.1

四、修复建议:
        为了避免在Apache Log4j 2.15.0版本中某些自定义配置而可能导致的JNDI注入或拒绝服务攻击,目前官方推出Apache Log4j 2.16.0及Apache Log4j 2.12.2版本,在这两个版本中均默认禁用JNDI功能,若需使用JNDI查找,需显式的在配置中启用。同时Apache Log4j 2.16.0限制JNDI的默认协议为:java、ldap(只运行访问java基础对象)及ldaps,如需连接除本机之外其他主机也需在配置中显式设置。Apache Log4j 2.12.2限制JNDI的默认协议为:java。
        Java 8版本用户可升级至Apache Log4j 2.16.0版本
        https://logging.apache.org/log4j/2.x/download.html
        Java 7版本用户可升级至Apache Log4j 2.12.2版本
        https://github.com/apache/loggin ... es/tag/rel%2F2.12.2

       
        缓解措施:
        (1)添加jvm启动参数 -Dlog4j2.formatMsgNoLookups=true   
        (2)在应用程序的classpath下添加log4j2.component.properties配置文件文件,文件内容:log4j2.formatMsgNoLookups=True
        (3)移除log4j-core包中JndiLookup 类文件,并重启服务。具体命令:
  1. zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
复制代码

        (4)建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本
        (5)限制受影响应用对外访问互联网
        (6)禁用JNDI。如在spring.properties里添加spring.jndi.ignore=true
        (7)采用其他防护措施,更新WAF、RASP规则等


4 Apache Log4j拒绝服务攻击漏洞(CVE-2021-45046)
一、漏洞描述:
        log4.png
        Apache Log4j2 是一个基于 Java 的日志记录工具。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。
        Apache Log4j 2.15.0 中针对 CVE-2021-44228 的修复在某些非默认配置中不完整。当日志配置使用非默认模式布局和上下文查找(例如,$${ctx:loginId})或线程上下文映射模式( %X、%mdc 或 %MDC)使用 JNDI 查找模式制作恶意输入数据,从而导致拒绝服务 (DOS) 攻击。

二、风险等级:
          中危
三、影响范围:
        2.0-beta9 <= Log4j <=2.12.1
        2.13.0 <= Log4j <= 2.15.0

四、修复建议:
        官方已发布安全版本,请及时下载更新。下载地址:
        https://logging.apache.org/log4j/2.x/download.html
       
        临时修复建议:
        Log4j 1.x 缓解:Log4j 1.x 不受此漏洞影响。
        Log4j 2.x 缓解:实施以下缓解技术之一:
        1、Java 8(或更高版本)用户应升级到 2.16.0 版。
        2、需要 Java 7 的用户应在可用时升级到版本 2.12.2。
        3、否则,从类路径中删除 JndiLookup 类,并重启服务。具体命令:
  1. zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
复制代码

        请注意,只有 log4j-core JAR 文件受此漏洞影响。仅使用 log4j-api JAR 文件而不使用 log4j-core JAR 文件的应用程序不受此漏洞的影响。
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-27 07:55

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表