微软于本周二(8/10)的Patch Tuesday修补了44个安全漏洞,其中有7个被列为重大(Critical)漏洞。另有3个已被公开的漏洞,包含尚未被开采的CVE-2021-36942与涉及Print Spooler的新漏洞CVE-2021-36936,以及已经遭到开采的CVE-2021-36948。此外,微软本周也修补了于今年7月中对外警告、有关Print Spooler的CVE-2021-34481漏洞。
外界猜测,微软最近可能因为被Windows打印多任务缓冲处理器(Print Spooler)的相关漏洞搞得焦头烂额,才会在今年8月仅发布44个安全更新,这也是微软自2019年12月以来,修补数量最少的一次Patch Tuesday。
Windows打印多任务缓冲处理器惹的祸,可能可以从微软于今年6月修补的CVE-2021-1675算起,当时微软仅把它视为本地权限升级漏洞,因而未引起太多关注,直至有许多安全研究人员发现它其实是个远程程序攻击漏洞,也促使微软变更该漏洞的说明。
之后微软于7月1日发布第二个涉及Print Spooler的安全漏洞CVE-2021-34527,这是个远程程序攻击漏洞,而且当时已遭黑客开采;7月15日公布的CVE-2021-34481也为Print Spooler的远程程序攻击漏洞。
在这期间,研究人员持续指出微软低估了Print Spooler的风险,或者是修补不完全,且微软一直到本周才修补CVE-2021-34481。微软表示,该公司一直到8月10日,才完成对CVE-2021-34481的调查并发布安全更新,主要的变更在于要求用户必须具备管理权限,才能安装打印机的驱动程序。
第四个Print Spooler漏洞,则是本月修补的零时差漏洞之一的CVE-2021-36936,它是个远程程序攻击漏洞,也为本月7个重大漏洞之一,虽然先前已被公开披露,但尚未传出攻击行动。
至于已遭黑客开采的CVE-2021-36948,属于Windows Update Medic Service的权限扩张漏洞。Windows Update Medic Service是微软于Windows 10才增添的功能,可用来修复毁损的Windows Update组件以让系统继续接收更新,但该漏洞允许已登录系统的黑客执行特定程序来扩张权限,微软仅说CVE-2021-36948已被开采,并未说明受灾状况。
另一个已被披露的漏洞则是存在于Windows LSA(Local Security Authority)的CVE-2021-36942。
除了上述3个零时差漏洞之外,安全团队Zero Day Initiative(ZDI)也点名了藏匿于远程桌面客户端的CVE-2021-34535漏洞,当用户通过含有漏洞的客户端连接黑客所控制的服务器时,将允许黑客执行远程程序攻击,该漏洞也波及Hyper-V Viewer,且其CVSS风险评分高达9.9。