Microsoft выпустила партию ноябрьских патчей для своих продуктов. В общей сложности в этом месяце было исправлено 55 проблем, шесть из которых относятся к уязвимостям нулевого дня. Под атаками хакеров уже находились два бага (в Microsoft Exchange и Excel), при этом свежий 0-day в Exchange ранее был использован в рамках хакерского конкурса Tianfu Cup, ежегодно проводящегося в Китае.
«Главными» уязвимостями месяца определено стали баги, находящиеся под атаками:
- CVE-2021-42292 — уязвимость, связанная с обходом механизмов безопасности Microsoft Excel;
- CVE-2021-42321 — уязвимость в Microsoft Exchange Server, связанная с удаленным выполнением кода.
Интересно, что в прошлом месяце, в рамках хакерского состязания Tianfu Cup, был применен эксплоит для проблемы CVE-2021-42321, которая позволяет аутентифицированному злоумышленнику выполнить произвольный код.
Специалисты компании призывают администраторов срочно установить патчи, так как проблема весьма серьезная, хотя для ее эксплуатации и нужна аутентификация. CVE-2021-42321 представляет опасность для Exchange Server 2016 и Exchange Server 2019 и связана с некорректной валидацией аргументов cmdlet. Баг влияет только на on-premises серверы Exchange, включая те, что используются клиентами в гибридном режиме Exchange ( подчеркивается, что клиенты Exchange Online защищены от попыток эксплуатации уязвимости).
В свою очередь, проблема CVE-2021-42292 была обнаружена внутри компании, специалистами Microsoft Threat Intelligence, и тоже активно использовалась в хакерских атаках. Стоит отметить, что уязвимость в Excel затрагивает и Microsoft Office для macOS, однако исправлений для платформы Apple пока нет.
Также в этом месяце Microsoft исправила четыре другие 0-day уязвимости, которые в атаках еще не применялись:
- CVE-2021-38631 — раскрытие информации, связанное с Windows Remote Desktop Protocol (RDP);
- CVE-2021-41371 — раскрытие информации, связанное с Windows Remote Desktop Protocol (RDP);
- CVE-2021-43208 — RCE-уязвимость в 3D Viewer;
- CVE-2021-43209 — RCE-уязвимость в 3D Viewer.