微软Patch Tuesday修补包含MSHTML引擎等66项漏洞

周二微软释出9月份Patch Tuesday安全更新，修补66项漏洞，包含已经出现开采程式的Windows MSHTML浏览器引擎漏洞，以及1个尚未公开但风险值9.8的Azure管理元件漏洞。

本次修补的漏洞最受瞩目的是编号CVE-2021-40444的漏洞，它位于Windows内微软浏览器引擎MSHTML，但影响也使用MHTML引擎的Office用户。攻击者传送的恶意Office档案一经用户开启，即开启攻击者控制的恶意网页，并启用ActiveX控制下载恶意Cpl档。开采行动可引发远端程式码执行，最严重导致攻击者接管Windows机器。

这项漏洞影响Windows 7到Windows 10，以及Server 2008以后版本。安全研究人员已在Office 365及Office 2016上复制出攻击。

微软上周提供以关闭IE中ActiveX来缓解攻击，也说明Office环境下可以“安全检视”模式维护用户安全，但是研究人员说明CVE-2021-40444威胁比想像中来得大，因为压缩档（.arj、.gzip）或磁盘映像档（.iso、.vhd）都可以绕过“安全检视”，使这漏洞比恶意宏的安全威胁更大。

网络上周已经开始流传可开采CVE-2021-40444的恶意文件。研究人员发现，Docx、.RTF、Excel到PowerPoint等不一而足。安全专家包括CERT/CC研究员Will Dormann已测试出在启用ActiveX缓解措施的PC上，依然能开启Office文件执行恶意程式的方法。

本次还有另一个漏洞CVE-2021-36968已遭公开，不过所幸尚无开采活动。它是位于Windows DNS中，风险值7.8的权限升级（EoP）漏洞。

其他漏洞方面，较值得注意的有几个：一是CVE-2021-38647，位于Azure Open Management Infrastructure (OMI)管理元件，攻击者不需验证即可以根（root）权限在Azure VM执行程式码，风险值9.8，属重大漏洞。Azure OMI同时还被修补了3个高风险的EoP漏洞（CVE-2021-38645、CVE-2021-38648、及CVE-2021-38649） 。

另一重大漏洞CVE-2021-36965是Windows WLAN AutoConfig Service漏洞，可导致用户在公开Wi-Fi网络环境下，遭远端程式码执行（RCE）攻击，风险值8.8。

其他风险值7.0到7.9之间的漏洞中，微软修补了打印多工缓冲服务Print Pooler 3个漏洞，包括CVE-2021-38667、CVE-2021-38671和CVE-2021-40447。研究人员呼吁应优先部署修补程式，因为攻击者可在开采骇入网络后持续活动。

此外，Windows Common Log File System（CLFS）驱动程式内含3个权限升级漏洞（CVE-2021-36955、CVE-2021-36963及CVE-2021-38633）。研究人员相信，这驱动程式在所有Windows版本都支援，虽然尚未有攻击活动，但开采容易，不可掉以轻心。