通告摘要

本月,微软共发布了83个漏洞的补丁程序,其中,Remote Procedure Call Runtime、Win32k、Microsoft Defender等产品中的10个漏洞被微软官方标记为紧急漏洞。经研判,以下9个漏洞(包括6个紧急漏洞和3个重要漏洞)影响较大,如下所示:CVE-2021-1647、CVE-2021-1658、CVE-2021-1660、CVE-2021-1666、CVE-2021-1667、CVE-2021-1673、CVE-2021-1707、CVE-2021-1709、CVE-2021-1674。

风险通告

本月,微软共发布了83个漏洞的补丁程序,其中,Remote Procedure Call Runtime、Win32k、Microsoft Defender等产品中的10个漏洞被微软官方标记为紧急漏洞。经研判,以下9个漏洞(包括6个紧急漏洞和3个重要漏洞)影响较大,如下表所示:

CVE编号

风险等级

漏洞名称

利用可能

CVE-2021-1647

紧急

Microsoft Defender 远程代码执行漏洞

N/Y/D

CVE-2021-1658

紧急

RPC Runtime远程代码执行漏洞

N/N/L

CVE-2021-1660

紧急

RPC Runtime远程代码执行漏洞

N/N/L

CVE-2021-1666

紧急

RPC Runtime远程代码执行漏洞

N/N/L

CVE-2021-1667

紧急

RPC Runtime远程代码执行漏洞

N/N/L

CVE-2021-1673

紧急

RPC Runtime远程代码执行漏洞

N/N/L

CVE-2021-1707

重要

Microsoft SharePoint Server 远程代码执行漏洞

N/N/M

CVE-2021-1709

重要

Windows Win32k 权限提升漏洞

N/N/M

CVE-20211674

重要

Windows Remote Desktop Protocol核心安全特性绕过漏洞

N/N/L

注:“利用可能”字段包含三个维度(是否公开[Y/N]/是否在野利用[Y/N]/可利用性评估[D/M/L/U/NA])

简写

定义

翻译

Y

Yes

N

No

D

0-Exploitation detected

0-检测到利用

M

1-Exploitation more likely *

1-被利用可能性极大

L

2-Exploitation less likely **

2-被利用可能性一般

U

3-Exploitation unlikely ***

3-被利用可能性很小

NA

4-N/A

4-不适用

其中,CVE-2021-1647 Microsoft Defender远程代码执行漏洞已发现在野利用,以下2个漏洞被微软标记为“Exploitation More Likely”,这代表这些漏洞更容易被利用:

  • CVE-2021-1707

  • CVE-2021-1709

以下漏洞由奇安信代码安全实验室发现并提交,包括:CVE-2021-1709、CVE-2021-1646。鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。

漏洞描述

本月,微软共发布83个漏洞的补丁程序,其中,CVE-2021-1709、CVE-2021-1646漏洞由奇安信代码安全实验室发现并提交。另外,CVE-2021-1647 Microsoft Defender远程代码执行漏洞已发现在野利用,以下2个漏洞被微软标记为“Exploitation More Likely”,这代表这些漏洞更容易被利用:

  • CVE-2021-1707

  • CVE-2021-1709

奇安信CERT对此进行研判,影响较大的9个漏洞(包括6个紧急漏洞和3个重要漏洞)的详细信息如下:

1、CVE-2021-1647 Microsoft Defender远程代码执行漏洞

漏洞名称

Microsoft Defender 远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2021-1647

公开状态

未公开

在野利用

已发现

漏洞描述

Microsoft Defender 中存在远程代码执行漏洞,攻击者可通过向目标受害者发送邮件或恶意链接等方式诱导受害者下载攻击者构造的恶意文件,从而使 Defender 在自动扫描时触发该漏洞,最终控制受害者计算机。据官方描述,CVE-2021-1647 目前已发现在野利用。Microsoft Malware Protection Engine 在最新版本中已更新补丁,用户联网可自动更新补丁。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1647

2、Remote Procedure Call Runtime 远程代码执行漏洞

漏洞名称

Remote Procedure Call Runtime远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

详见漏洞描述

公开状态

未公开

在野利用

未发现

漏洞描述

在 Windows 中 RPC(远程过程调用)开启时,存在五个远程代码执行漏洞(CVE-2021-1658、CVE-2021-1660、CVE-2021-1666、CVE-2021-1667、CVE-2021-1673) ,成功利用此漏洞需要网络访问权限及低特权的账户,利用难度较大。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1658

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1660

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1666

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1667

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1673

3、CVE-2021-1707 Microsoft SharePoint Server 远程代码执行漏洞

漏洞名称

Microsoft SharePoint Server 远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

重要

漏洞ID

CVE-2021-1707

公开状态

未公开

在野利用

未发现

漏洞描述

Microsoft SharePoint服务中存在远程代码执行漏洞(CVE-2021-1707),经过身份认证的攻击者可通过创建SharePoint网站来利用此漏洞,成功利用此漏洞的攻击者可在 SharePoint应用程序池和SharePoint服务器账户的上下文中执行任意代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1707

4、CVE-2021-1709 Windows Win32k权限提升漏洞

漏洞名称

Windows Win32k 权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2021-1709

公开状态

未公开

在野利用

未发现

漏洞描述

Win32k存在一个权限提升漏洞。经过本地身份验证的攻击者可利用此漏洞在目标系统上以完全用户权限执行任意代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1709

5、CVE-2021-1674Windows Remote Desktop Protocol核心安全特性绕过漏洞

漏洞名称

Windows Remote Desktop Protocol核心安全特性绕过漏洞

漏洞类型

安全特性绕过

风险等级

重要

漏洞ID

CVE-2021-1674

公开状态

未公开

在野利用

未发现

漏洞描述

Windows远程桌面协议(RDP)中存在安全功能绕过漏洞,具有低特权帐户和网络访问权限的攻击者可以进行利用,目前尚无更多细节。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1674

风险等级

奇安信 CERT风险评级为:高危

风险等级:蓝色(一般事件)

处置建议

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。

也可以采用以下官方解决方案及缓解方案来防护此漏洞:

Windows自动更新

Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”

2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)

3、选择“检查更新”,等待系统将自动检查并下载可用更新

4、重启计算机,安装更新

系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的1月补丁并安装:

https://msrc.microsoft.com/update-guide/releaseNote/2021-Jan

产品线解决方案

奇安信天擎终端安全管理系统解决方案

奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2021.01.13.1及以上版本,对内网终端进行补丁更新。

推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2021.01.13.1版本。

控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。

纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0113.12585或以上版本。规则ID及规则名称:

0x5d93, Microsoft Windows Defender 远程代码执行漏洞(CVE-2021-1647);

0x10020BAC, Microsoft SharePoint Server 远程执行代码漏洞(CVE-2021-1707);

奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该补丁日多个高危漏洞(含Microsoft Defender远程代码执行漏洞(CVE-2021-1647)、Microsoft SharePoint Server远程代码执行漏洞(CVE-2021-1707))的检测能力。对应的规则ID为:6117、6116,建议用户尽快升级检测规则库至2101131422以后版本并启用该多个检测规则。

参考资料

https://msrc.microsoft.com/update-guide/releaseNote/2021-Jan

时间线

2020年1月13日,奇安信 CERT发布安全风险通告

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。