2021年11月9日，微軟11月補(bǔ)丁星期二活動(dòng)日，微軟發(fā)布了一系列的安全更新，一共修復(fù)了55個(gè)漏洞，還包括兩個(gè)正在被黑客積極利用的0Day漏洞。

其中，提權(quán)型漏洞數(shù)量最多，有20個(gè)，遠(yuǎn)程代碼執(zhí)行漏洞15個(gè)，信息泄露漏洞10個(gè)，余下還有拒絕服務(wù)漏洞、欺騙型漏洞和安全功能繞過(guò)漏洞。

[[434419]]

本次安全更新補(bǔ)丁涉及的主要是以下產(chǎn)品和服務(wù)：

Microsoft Windows and Windows Components, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office, Office Components, Windows Hyper-V, Windows Defender，Visual Studio

據(jù)微軟發(fā)布的漏洞更新報(bào)告，“Microsoft Exchange Server 存在一個(gè)身份驗(yàn)證漏洞(編號(hào)CVE-2021-42321 )，有可能會(huì)被黑客利用進(jìn)行有限的針對(duì)性攻擊，因此建議企業(yè)立即安裝新的補(bǔ)丁，保護(hù)系統(tǒng)環(huán)境安全。該漏洞會(huì)影響本地 Microsoft Exchange Server，包括用戶在Exchange 混合模式下使用的服務(wù)器，但Exchange Online 不會(huì)收到影響，無(wú)需采取任何行動(dòng)。”

在本次修復(fù)的55個(gè)漏洞中，有6個(gè)關(guān)鍵性漏洞，49個(gè)嚴(yán)重漏洞，其中有4個(gè)漏洞是通過(guò) ZDI程序公開(kāi)披露。

從以往數(shù)據(jù)來(lái)看，11月安全更新的補(bǔ)丁數(shù)量相對(duì)處于歷史低位。2020年平均每月發(fā)布的安全補(bǔ)丁數(shù)量是2021年11月的2倍多，即使是在2018年，全年發(fā)布的漏洞補(bǔ)丁也達(dá)到了691個(gè)，平均每月補(bǔ)丁數(shù)量也比11月多。

此外，微軟在漏洞更新報(bào)告中著重提醒，Microsoft Exchange Server 和 Microsoft Excel中的兩個(gè)0Day漏洞目前正在被黑客積極利用，應(yīng)引起企業(yè)高度重視。

[[434420]]

以下是兩個(gè)漏洞的信息：

• CVE-2021-42321，Microsoft Exchange Server 遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞是因?yàn)閏mdlet 參數(shù)驗(yàn)證不當(dāng)而導(dǎo)致的遠(yuǎn)程代碼執(zhí)行問(wèn)題，曾在2021年的天府杯大賽中被使用，黑客可利用該漏洞破解身份驗(yàn)證。
• CVE-202 1-42292，Microsoft Excel 安全功能繞過(guò)漏洞。這個(gè)一個(gè)代碼執(zhí)行漏洞，被Microsoft 威脅情報(bào)中心發(fā)現(xiàn)，并被黑客積極用于惡意攻擊。受害者使用受影響的Excel 版本打開(kāi)特制文件就會(huì)觸發(fā)該漏洞。

其他四個(gè)公開(kāi)披露的漏洞：

• CVE-2021-38631 – Windows 遠(yuǎn)程桌面協(xié)議 (RDP) 信息泄露漏洞
• CVE-2021-41371 – Windows 遠(yuǎn)程桌面協(xié)議 (RDP) 信息泄露漏洞
• CVE-2021-43208 – 3D 查看器遠(yuǎn)程代碼執(zhí)行漏洞
• CVE-2021-43209 – 3D 查看器遠(yuǎn)程代碼執(zhí)行漏洞

參考來(lái)源：https://securityaffairs.co/wordpress/124405/security/microsoft-patch-tuesday-november-2021.html