【ms明朝】明朝万达2021年网络安全月报（10月）

最近，明朝万达安院实验室于2021年发布了第10期《安全通告》。

该份报告收录了今年10月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻

◑ Apple 发布紧急更新修复iOS 和iPadOS 中内存损坏 0day

Apple 在 10 月 11 日发布紧急更新，修复了 iOS 15.0.2 和 iPadOS 15.0.2 中的内存损坏 0day。该漏洞追踪为 CVE-2021-30883，是 IOMobileFrameBuffer 中的一个内存损坏漏洞，可用来在目标设备执行命令。Apple 在安全公告中称该漏洞已在针对手机和 iPad 的攻击中被广泛利用。此外，在漏洞公开不久，研究人员Saar Amar 就发布了关于该漏洞的技术文章和利用漏洞的 PoC。

◑ Windows 11 与非 ASCII 字符的应用存在兼容性问题

微软近日发布的 Windows 11 已知问题文档显示，Win11 与非 ASCII 字符的应用存在兼容性问题。微软称，非 ASCII 字符的应用可能无法在受影响的系统上正常运行，并可能导致其他问题，包括蓝屏错误等。更糟糕的是，具有非 ASCII 字符的注册表项可能也无法修复。微软正深入调查该问题，并将在未来提供解决方案。如果用户的注册表中有使用非 ASCII 字符的应用程序，微软将不会向用户推送 Windows 11 升级。

◑ McAfee 发布 2021 年第二季度威胁态势的分析报告

McAfee 在 10 月 4 日发布了 2021 年第二季度威胁态势的分析报告。报告指出，在2021 年 Q2，勒索软件 REvil/Sodinokibi 的占比高达 73%，而 DarkSide 的攻击目标从石油、天然气和化工行业扩展到了法律服务、批发和制造行业。遭到勒索攻击最多的行业为政府机构，其次是电信、能源和媒体与通信行业。与 2021 年 Q1 相比，垃圾邮件的数量增幅最大，为 250%，其次是恶意脚本（125%）和恶意软件（47%）。

◑ Check Point 发布 2021 年全球威胁态势的分析报告

Check Point 发布了 2021 年全球威胁态势的分析报告。在全球范围内，与 2020 年相比，2021 年组织每周遭到的攻击数量增加了 40%，该数值从 2020 年 3 月开始显著增加，到 2021 年 9 月达到峰值，全球每个组织平均每周遭到超过 870 次攻击，是 2020 年 3 月的两倍多。遭到攻击最多的仍然是教育和研究行业，每个组织每周平均遭到 1468 次攻击(比 2020 年增加 60%)，其次是政府和军工行业为 1082 次(增加 40%)和医疗行业为 752 次(增加 55%)。

◑ 研究团队发现Linux 恶意挖矿软件的新变体瞄准华为云

TrendMicro 的研究人员发现以前用于针对 Docker 容器的 Linux 恶意挖矿软件的新变体，开始针对像华为云这样的新云服务提供商。具体地说，新样本已经注释掉了防火墙规则创建功能，并继续使用网络扫描器来寻找其他具有 api 相关端口的主机。华为云是较新的云提供商，声称它已经为超过 300 万客户提供服务。研究人员已将此次攻击通知该公司，但尚未收到回复。

◑ Webroot 发布关于 2021 年最恶劣的恶意软件的报告

Webroot 表示，2021 年是网络威胁占据新闻头条的一年，勒索软件勒索已从一种趋势演变为一种新常态。该公司在其报告中列出的 2021 年最恶劣的恶意软件包括：著名的僵尸网络 LemonDuck、勒索软件 REvil、银行木马 Trickbot、银行木马和信息窃取程序 Dridex、勒索软件 Conti、渗透测试工具 Cobalt Strike，以及 Hello Kitty 和 DarkSide。

◑ 厄瓜多尔最大私人银行Banco Pichincha 遭到攻击

厄瓜多尔最大的私人银行 Banco Pichincha 遭到了网络攻击，系统暂时关闭。此次攻击导致银行的业务大面积中断，包括 ATM、网上银行、应用程序、电子邮件系统和自助服务。该银行在服务中断的两天后发布声明，称其遭到了网络攻击，但并未公开此次攻击的性质。据研究人员称这是一次勒索软件攻击，攻击者在银行的系统中安装了 Cobalt Strike beacon。

◑ IDC 发布 2021 上半年中国 IT 安全服务市场跟踪报告

IDC 在 10 月 12 日发布了 2021 上半年中国 IT 安全服务市场跟踪报告。IDC 定义的网络安全服务市场分别由安全咨询服务、IT 安全教育与培训服务、托管安全服务和安全集成服务四个子市场构成。报告显示，2021 上半年中国 IT 安全服务市场厂商整体收入约为 11.1 亿美元（约合 71.5 亿元人民币），厂商收入规模较去年同期实现翻倍增长， 涨幅高达 110%，较 2019 年同比增长 38%，中国 IT 安全服务市场正式进入需求全面爆发期。

◑ 巴西Hariexpress 数据库配置错误泄露 17.5 亿条用户记录

Safety Detectives 在 10 月 13 日披露，巴西电商集成平台 Hariexpress 泄露了超过610 GB 数据。此次事件是由于 Elasticsearch 服务器配置错误导致的，其中包含了超过1751023279 条用户记录。据研究人员称，他们在 5 月 12 日发现了泄露的数据，经过分析当时这些数据已公开了一个多月。直至目前该数据库仍未得到保护，Hariexpress 也未对此事作出回应。

◑ 澳大利亚当局将采取删除被盗文件的方式解决数据问题

澳大利亚政府在 10 月 15 日发布了一项新的勒索软件行动计划，是澳大利亚为期十年的《2020 年网络安全战略》中的一部分。为了更有力地打击勒索软件攻击活动，澳大利亚当局发布了《2021年监视法修正案》。其中规定澳大利亚联邦警察和刑事情报委员会有权删除与犯罪活动相关的数据，这允许执法部门删除在勒索软件攻击期间被盗并存储在攻击者服务器上的数据，以防止数据泄露问题。

◑ Kaspersky 发布 APT 组织IronHusky 攻击活动的分析报告

Kaspersky 在10 月12 日发布了关于APT 组织IronHusky 攻击活动的分析报告。2021 年 8 月下旬和 9 月上旬，研究人员检测到在多个 Windows 服务器上利用了Win32k 驱动程序中的释放后使用漏洞 CVE-2021-40449 的攻击活动。该活动还利用了恶意软件MysterySnail，其代码的相似性和 C2 的重用使得研究人员将此次活动与 2012 年的 APT 组织 IronHusky 关联起来。

◑ CISA 和 FBI 联合发布关于水务系统网络威胁的安全公告

美国 CISA、FBI、EPA 和 NSA 在 10 月 14 日发布了联合网络安全公告(CSA) ，详细说明了美国水务系统(WWS)行业所面临的网络威胁。公告强调了正在进行的针对 WWS 行业的 IT 和 OT 网络、系统和设备的攻击活动，该活动可能会影响相关公司提供清水、饮用水和有效处理废水的能力。CISA 还发布了 WWS 行业的网络风险和资源信息图，指出了该行业面临的信息技术和运营技术风险。

◑ 3D 打印平台 Thingiverse 泄露超过 22 万用户的信息

Have I Being Pwned(HIBP)在 10 月 14 日发文称，3D 打印平台 Thingiverse 泄露了约 228000 名用户的详细信息。此次泄露的信息包括电子邮件地址、用户名、IP、DoB 和密码，HIPB 表示这些信息已在黑客论坛上公开。Thingiverse 的母公司 MakerBot 淡化了这一事件，称这是内部的人为错误导致了一些非敏感信息的泄露，并表示已通知受影响的用户修改他们的密码。

◑ Unit 42 发布利用 Interactsh 的攻击活动的分析报告

Unit 42 在 10 月 14 日披露了利用开源工具 Interactsh 的攻击活动。该工具可以生成特定的域名，以帮助用户测试漏洞利用是否成功。从 2021 年 4 月中旬开始，研究人员注意到一些漏洞利用尝试活动使用的payload 具有相同域名但子域不同。经过调查，发现来源于 Interactsh，该工具于今年 4 月 16 日发布，在 4 月 18 日就出现了利用它的攻击尝试。

◑ Continuity 发布关于存储安全态势的分析报告

Continuity 在近期发布了关于存储安全态势的分析报告。报告分析了银行、金融服务、运输、医疗保健等行业客户的 423 个存储系统，总共发现了 6300 多个安全问题。平均每台设备上存在 15 个漏洞，其中 3 个是存在重大风险的关键漏洞。最常见的安全风险为使用易受攻击的协议、未修复的漏洞、访问权限问题、不安全的用户管理和日志记录不足等。

◑ CISA、FBI 和NSA 发布 BlackMatter 的预警公告

10 月 18 日，CISA、FBI 和 NSA 发布了勒索软件 BlackMatter 的联合网络安全咨询(CSA)。自今年 7 月以来，勒索软件 BlackMatter 已攻击了美国的多个与关键基础设施相关的公司，例如食品和农业行业。该 CSA 分析了 BlackMatter 的样本并结合了来自第三方的信息，提供了攻击者的策略、技术和程序，并概述缓解措施，以帮助组织改进针对此类攻击的保护、检测和响应措施。

◑ 黑客声称已窃取新加坡Fullerton 40 多万客户的信息

攻击者于10 月11 日开始，在暗网上以600 美元的价格出售新加坡医疗公司Fullerton 的数据。攻击者声称已获取了 40 多万客户，并公开了姓名、身份证号码、银行账户和病史等信息作为样本。但是在上周五（10 月 22 日），攻击者删除了有关数据出售的信息。该公司在 10 月 19 日称，此次泄露是由于其供应商 Agape 前不久的违规行为导致的，目前仍未确定受影响人员的数量和身份。

◑ SEON 发布关于全球网络犯罪威胁态势的分析报告

SEON 在 10 月 25 日发布了关于全球网络犯罪威胁态势的分析报告。报告对全球近100 个国家和地区进行分析，发现网络安全性最强的国家是丹麦，其次是德国、美国、挪威、英国、加拿大、瑞典和澳大利亚等国。相反，最不安全的国家是缅甸，其次是柬埔寨、洪都拉斯、玻利维亚和蒙古等国。报告还指出了 2020 年美国最常见的网络犯罪类型分别是网络钓鱼和欺诈(32.96%)、未付款或未交付(14.87%)和敲诈勒索 (10.48%)。

◑ Microsoft 发布 NOBELIUM 团伙攻击活动的分析报告

Microsoft 威胁情报中心在 10 月 25 日发布了关于NOBELIUM 团伙攻击活动的分析报告。NOBELIUM 是 2020 年 12 月针对 SolarWinds 的供应链攻击的幕后黑手，自 2021 年 5 月以来，该团伙在美国和欧洲发起了有针对性的供应链攻击。此次活动并未利用任何漏洞，而是利用密码喷射、令牌盗窃、API 滥用和鱼叉式网络钓鱼等多种技术来窃特权帐户的凭据，从而在云环境中横向移动。

◑ Neustar 发布 2021 年 9 月全球威胁态势的统计报告

Neustar 国际安全委员会(NISC)发布了 2021 年 9 月全球威胁态势的统计报告。报告显示，72%的组织在过去 12 个月内至少经历过一次 DNS 攻击，其中最常见的 DNS 攻击类型DNS 劫持 (47%)、DNS 洪泛反射或放大攻击等DDoS 攻击(46%)、DNS 隧道(35%) 和缓存中毒(33%)。2021 年 7 月至 8 月，DDoS 是最受关注的问题，其次是系统入侵和勒索软件。

网络安全最新漏洞追踪

​◐ WinRAR 远程代码执行漏洞（CVE-2021-35052）

漏洞详情

WinRAR 是一款功能强大的压缩包管理器，可以使用它创建和解压常见的压缩包格式，如 RAR 和 ZIP 等类型。2021 年 10 月 20 日，WinRAR Windows 试用版 5.70 被公开披露可能存在远程代码执行漏洞（CVE-2021-35052），远程攻击者可以通过拦截和修改发送给应用程序用户的请求，最终实现在受害者的计算机上远程执行任意代码。对该漏洞的研究源于 MSHTML（又名 Trident）所呈现的 JavaScript 错误，MSHTML是目前已停用的Internet Explorer 的专有浏览器引擎，在 Office 中用于呈现 Word、Excel 和 PowerPoint 文档中的 web 内容，从而发现在试用期满后启动应用程序时，错误窗口每三次显示一次。通过拦截WinRAR 通过 no[.com]提醒用户免费试用期结束时发送的响应代码，并将其修改为“301 Moved Permanently” 重定向消息，该漏洞可以被滥用来为所有后续请求缓存重定向到攻击者控制的恶意域。除此之外，已经能够访问同一网络域的攻击者可以执行 ARP 欺骗攻击，以远程启动应用程序、检索本地主机信息，甚至运行任意代码。

影响范围

WinRAR Windows 5.70 试用版

安全建议

目前漏洞已经公开披露，建议受影响的用户使用官方付费版本。

下载链接：

参考链接：

;utm_medium=rss&utm_campaign=winrar-trial-flaw

◐ Oracle 10 月多个安全漏洞

漏洞概述

2021 年 10 月 19 日，Oracle 发布了 10 月份的安全更新，本次发布的安全更新共计419 个，涉及 Oracle Communications Applications 、Oracle E-Business Suite、Oracle Financial Services Applications 、 Oracle Enterprise Manager 、 Oracle Fusion Middleware、Oracle Java SE、Oracle MySQL 和 Oracle Systems 等多个产品和组件。

漏洞详情

l Oracle Fusion Middleware 多个安全漏洞

Oracle 此次共发布了 38 个适用于 Oracle Fusion Middleware 的安全更新，其中有30 个漏洞无需经过身份验证即可远程利用。本次发布的更新涉及多个 Oracle WebLogic Server 漏洞：CVE-2021-35617 、 CVE-2021-35620 和 CVE-2021-35552 等， 其中CVE-2021-35617 的 CVSS 评分为 9.8，攻击复杂度低，且无需用户交互。攻击者可以通过 IIOP 协议对 Oracle WebLogic Server 发起攻击，成功利用此漏洞的攻击者可以控制 Oracle WebLogic Server。

l Oracle Communications Applications 多个安全漏洞

Oracle 此次共发布了 19 个适用于 Oracle Communications Applications 的安全更新， 其中有 14 个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2021-3177，其 CVSS 评分为 9.8。

l Oracle E-Business Suite 多个安全漏洞

Oracle 此次共发布了 18 个适用于 Oracle E-Business Suite 的安全更新，其中有 4 个漏洞无需经过身份验证即可远程利用。其中包括 CVE-2021-35566、CVE-2021-2483、CVE-2021-35536 和 CVE-2021-35585 等 11 个高危漏洞，它们的 CVSS 评分均为 8.1。

l Oracle Enterprise Manager 多个安全漏洞

Oracle 此次共发布了 8 个适用于 Oracle Enterprise Manager 的安全更新，其中有 5 个漏洞无需经过身份验证即可远程利用。其中一个评级为严重的漏洞为CVE-2021-26691（CVSS 评分为 9.8），该漏洞的利用复杂度低，且无需用户交互。此外，Oracle 还修复了包括 CVE-2021-2137 和 CVE-2021-29505 在内的其它 7 个安全漏洞。

l Oracle Financial Services Applications 多个安全漏洞

Oracle 此次共发布了 44 个适用于 Oracle Financial Services Applications 的安全更新， 其中有 26 个漏洞无需经过身份验证即可远程利用。其中严重漏洞包括CVE-2021-21345、CVE-2020-5413 和 CVE-2020-10683，它们的 CVSS 评分均为 9.8。

l Oracle Java SE 多个安全漏洞

Oracle 此次共发布了 15 个适用于 Oracle Java SE 的安全更新，其中有 13 个漏洞无需经过身份验证即可远程利用。其中高危漏洞包括 CVE-2021-3517、CVE-2021-35560 和 CVE-2021-27290 。其中， CVE-2021-3517 和 CVE-2021-35560 影响了 Java SE8u301。

l Oracle MySQL 多个安全漏洞

Oracle 此次共发布了 66 个适用于Oracle MySQL 的安全更新，其中有 10 个漏洞无需经过身份验证即可远程利用。严重漏洞包括 CVE-2021-22931（影响 MySQL 集群） 和 CVE-2021-3711（影响 MySQL 服务器），这 2 个漏洞的CVSS 评分均为 9.8，攻击复杂度低，且无需用户交互。

l Oracle Systems 多个安全漏洞

Oracle 此次共发布了 5 个适用于 Oracle Systems 的安全更新，其中有 2 个漏洞无需经过身份验证即可远程利用。严重漏洞包括 CVE-2021-26691，其 CVSS 评分均为 9.8，攻击复杂度低， 且无需用户交互。此外， Oracle 还发布了 CVE-2021-35539 、CVE-2021-35589、CVE-2021-35549 和 CVE-2020-1968 等多个漏洞的补丁。

安全建议

目前 Oracle 已经发布了相关补丁，建议受影响的用户及时升级更新。漏 洞 列 表 及 影 响 范 围 请 参 考 Oracle 官 方 公 告 ：

缓解措施

​针对 WebLogic，建议禁用 T3 协议或 IIOP 协议。禁用 T3 协议，具体操作：

1）进入 WebLogic 控制台，在 base_domain 的配置页面中，进入“安全”选项卡页面，点击“筛选器”，进入连接筛选器配置。

2)在连接筛选器中输入：weblogic.，在连接筛选器规则中输入：127.0.0.1 * * allow t3t3s，0.0.0.0/0 * *deny t3 t3s(t3 和 t3s 协议的所有端口只允许本地访问)。

3）保存后需重新启动，规则方可生效。

​禁用 IIOP 协议，具体操作：登陆 WebLogic 控制台，base_domain >服务器概要 >AdminServer

​

​参考链接：

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22931

◐ NET Core & Visual Studio 信息泄露漏洞 (CVE-2021-41355)

漏洞详情

2021 年 10 月 12 日，微软修复了 .NET Core 和 Visual Studio 中的一个信息泄露漏洞（CVE-2021-41355），该漏洞可能会导致凭证以明文形式泄露，其 CVSS 评分为5.7，影响了.NET 5.0、Microsoft Visual Studio 2019 和 PowerShell 7.1。

近 日 ， 微 软 发 布 Windows Defender 应 用 程 序 控 制 安 全 功 能 绕 过 漏 洞（CVE-2020-0951，于 2020 年 9 月 8 日首次发布）安全公告，该漏洞可能使攻击者绕过 WDAC 。成功利用此漏洞的攻击者可以执行被 WDAC 阻止的 PowerShell 命令。但要利用该漏洞，攻击者需要在运行 PowerShell 的本地机器上有管理员权限。然后，攻击者可以连接到 PowerShell 会话， 并发送命令来执行任意代码。该漏洞影响了PowerShell 7.0 和 7.1 版本。

PowerShell 是一个跨平台的任务自动化解决方案，由命令行 shell、脚本语言和配置管理框架组成。PowerShell 可以在 Windows、Linux 和 macOS 上运行。Windows Defender 应用程序控制（WDAC）旨在保护 Windows 设备免受潜在的恶意软件入侵， 确保只有受信任的应用程序和驱动程序可以运行，从而阻止恶意软件和不需要的软件启动。

目前， Redmond 已经发布了 PowerShell 7.0.8 和 PowerShell 7.1.5 ， 以修复PowerShell 7 和 PowerShell 7.1 分 支 中 的 安 全 漏 洞 CVE-2020-0951 和CVE-2021-41355。由于攻击者可以利用这些漏洞绕过 WDAC 强制执行并获得对纯文本凭据的访问权限，微软要求系统管理员为 PowerShell 7 更新补丁。

影响范围

这 2 个漏洞影响了 PowerShell 7 的以下版本：

CVE-2021-41355：PowerShell 7.1

CVE-2020-0951：PowerShell 7.0 、PowerS

安全建议

目前这些漏洞已经修复。针对 PowerShell ，建议受影响的用户及时升级更新到PowerShell 7.0.8 或 PowerShell 7.1.5。要检测 PowerShell 7 版本是否受到影响，请在Powershell 窗口中输入命令：$PSVersionTable。

下载链接：

参考链接：

patch-powershell-to-fix-wdac-bypass/

◐ Microsoft 10 月多个安全漏洞

漏洞概述

2021 年 10 月 12 日，Microsoft 发布了 10 月份的安全更新，本次发布的安全更新修复了包括 4 个 0 day 漏洞在内的 74 个安全漏洞（包括 Microsoft Edge 为 81 个漏洞），其中有 3 个漏洞评级为严重，70 个漏洞评级为高危，1 个漏洞评级为中危。

漏洞详情

本次发布的安全更新涉及 Microsoft Exchange Serve、Microsoft Office 套件、Visual Studio、Windows Win32K、Windows TCP/IP、Windows Installer 和 Windows Kernel 等多个产品和组件。

在 81 个漏洞中（包括 Microsoft Edge），21 个为权限提升漏洞，6 个为安全功能绕过漏洞，20 个为远程代码执行漏洞，13 个为信息泄露漏洞，5 个为拒绝服务漏洞，以及 9 个欺骗漏洞。

Microsoft 本次修复的 4 个 0 day 漏洞如下，其中 Win32k 权限提升漏洞已被积极利用：

l Win32k 权限提升漏洞（CVE-2021-40449）

该漏洞为 Windows Win32k 内核驱动程序中的权限提升漏洞，其 CVSS 评分为 7.8， 攻击复杂度和所需权限低，无需用户交互即可被本地利用。目前此漏洞已被公开披露， 据卡巴斯基表示，该漏洞正被威胁行为者用于针对 IT 公司、军事/国防承包商和外交实体的广泛间谍活动，并用于提升 MysterySnail 远程访问木马 (RAT)的权限，卡巴斯基将其归因于 IronHusky APT 活动。

l Windows DNS server 远程代码执行漏洞（CVE-2021-40469）

该漏洞已经公开披露，其 CVSS 评分为 7.2，目前暂未发现被利用。该漏洞无需用户交互即可远程利用，攻击复杂度低，但所需权限高，并且仅在服务器配置为 DNS 服务器时才可被利用。微软的可利用性评估将其评为“不太可能被利用“。

l Windows Kernel 权限提升漏洞（CVE-2021-41335）

该漏洞已经公开披露，其 CVSS 评分为 7.8，目前暂未发现被利用。该漏洞的攻击复杂度和所需权限低，无需用户交互即可被本地利用，微软的可利用性评估将其评为“不太可能被利用“。

l Windows AppContainer 防火墙规则安全功能绕过漏洞（CVE-2021-41338）

该漏洞已经公开披露，其 CVSS 评分为 5.5，目前暂未发现被利用。该漏洞的攻击复杂度和所需权限低，无需用户交互即可被本地利用，微软的可利用性评估将其评为“不太可能被利用“。

3 个评级为严重的漏洞包括：

l Microsoft Word 远程代码执行漏洞（CVE-2021-40486）

该漏洞尚未公开披露，其 CVSS 评分为 7.8，目前暂未发现被利用。该漏洞的攻击复杂度低且无需特殊权限即可被本地利用，但需与用户交互，微软的可利用性评估将其评为“不太可能被利用“。此外，需要注意的是，预览窗格是此漏洞的一种攻击媒介。

l Windows Hyper-V 远程代码执行漏洞（CVE-2021-40461）

该漏洞尚未公开披露，其 CVSS 评分为 8.0，目前暂未发现被利用。利用该漏洞所需权限低且无需用户交互，但攻击复杂度高，微软的可利用性评估将其评为“不太可能被利用“。

l Windows Hyper-V 远程代码执行漏洞（CVE-2021-38672）

该漏洞尚未公开披露，其 CVSS 评分为 8.0，目前暂未发现被利用。利用该漏洞所需权限低且无需用户交互，但攻击复杂度高，微软的可利用性评估将其评为“不太可能被利用“。

为了利用此漏洞，恶意来宾 VM 可能会读取主机中的内核内存。但要触发此漏洞， 来宾 VM 需要首先在来宾 VM 上发生内存分配错误，此错误可导致从来宾到主机的 VM 逃逸。

此外，需要优先修复的漏洞还包括但不限于以下：

l CVE-2021-33781：Azure AD 安全功能绕过漏洞

l CVE-2021-38624：Windows 密钥存储提供程序安全功能绕过漏洞

l CVE-2021-26427：Exchange Server 远程代码执行漏洞

l CVE-2021-40454：Power Apps 中的富文本编辑控制信息泄露漏洞

l CVE-2021-40487：Microsoft SharePoint Server 远程代码执行漏洞

安全建议

目前 Microsoft 已发布相关安全更新，鉴于漏洞的严重性，建议受影响的用户尽快修复。

（一） Windows update 更新自动更新：

Microsoft Update 默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。

手动更新：

1、点击“开始菜单”或按 Windows 快捷键，点击进入“设置”

2、选择“更新和安全”，进入“Windows 更新”（Windows 8、Windows 8.1、Windows Server 2012 以及 Windows Server 2012 R2 可通过控制面板进入“Windows 更新”，具体步骤为“控制面板”->“系统和安全”->“Windows 更新”）

3、选择“检查更新”，等待系统将自动检查并下载可用更新。

4、重启计算机，安装更新系统重新启动后，可通过进入“Windows 更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的 SSU 名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

（二） 手动安装更新

Microsoft 官方下载相应补丁进行更新。

下载链接：

参考链接：

ch-tuesday-fixes-4-zero-days-71-flaws/

◐ Apache OpenOffice 10 月多个安全漏洞

漏洞概述

2021 年 10 月 11 日，Apache 发布安全公告，公开披露了 Apache OpenOffice 中的多个安全漏洞，攻击者可以利用这些漏洞来欺骗签名文档或实施未授权操作。

漏洞详情

Apache OpenOffice 和 LibreOffice 都是 O 的衍生产品。Apache openoffice 是一款类似于微软 MS Office 软件和 WPS 的免费跨平台的办公软件套件；LibreOffice 办公套件同样是自由开源的，但相比 OpenOffice 增加了很多特色功能。

作为 OpenOffice 的一个分支，本次披露的 3 个漏洞也影响了 LibreOffice：

CVE-2021-41830：Apache OpenOffice（高危）

攻击者能够修改已签名的文件和宏，使其看起来像是来自受信任的来源。该漏洞也影响了 LibreOffice，追踪为 CVE-2021-25633。

CVE-2021-41831：Apache OpenOffice（中危）

攻击者能够修改签名文档的时间戳。该漏洞也影响了 LibreOffice ， 追踪为CVE-2021-25634。

CVE-2021-41832：Apache OpenOffice（中危）

攻击者修改文件使其看起来是由一个受信任的来源签署的。该漏洞也影响了

LibreOffice，追踪为 CVE-2021-25635。

影响范围

Apache OpenOffice < 4.1.10

安全建议

目前 Apache OpenOffice 已经修复了这些漏洞，建议相关用户及时升级更新至Apache OpenOffice 4.1.11 版本；针对 LibreOffice，建议升级更新到 7.0.5 或 7.1.1 及更高版本。由于这两个应用程序均不提供自动更新，建议用户下载最新版本手动更新，或者选择完全禁用办公套件上的宏功能以缓解此漏洞。

下载链接：

Apache OpenOffice：

LibreOffice：

参考链接：

af529548-6884-590a-1d8f-e66e90bfb7f8@a

ows-hackers-to-spoof-signed-docs/

◐ Apache 远程代码执行漏洞（CVE-2021-42013）

漏洞详情

Apache HTTP Server 是一个开源、跨平台的 Web 服务器，它在全球范围内被广泛使用。

2021 年 10 月 7 日，Apache 软件基金会发布了 Apache HTTP Server 2.4.51 ， 以修复 Apache HTTP Server 2.4.49 和 2.4.50 中的路径遍历和远程代码执行漏洞（CVE-2021-41773、CVE-2021-42013），目前这些漏洞已被广泛利用。

Apache HTTP Server 路径遍历漏洞（CVE-2021-41773）

2021 年 10 月 5 日，Apache 发布更新公告，修复了 Apache HTTP Server 2.4.49中的一个路径遍历和文件泄露漏洞（CVE-2021-41773）。

攻击者可以通过路径遍历攻击将 URL 映射到预期文档根目录之外的文件，如果文档根目录之外的文件不受“require all denied” 访问控制参数的保护，则这些恶意请求就会成功。除此之外，该漏洞还可能会导致泄漏 CGI 脚本等解释文件的来源。

Shodan 搜索显示，全球部署有超过十万个，其中许多服务器中可能存在此漏洞，并且此漏洞目前已被广泛利用，建议相关用户尽快更新。

Apache HTTP Server 路径遍历和远程代码执行漏洞（CVE-2021-42013）

由于对 CVE-2021-41773 的修复不充分，攻击者可以使用路径遍历攻击，将 URL映射到由类似别名的指令配置的目录之外的文件，如果这些目录外的文件没有受到默认配置"require all denied "的保护，则这些恶意请求就会成功。如果还为这些别名路径启用了 CGI 脚本，则能够导致远程代码执行。

影响范围

Apache HTTP Server 2.4.49

Apache HTTP Server 2.4.50

安全建议

目前这些漏洞已经修复，鉴于漏洞的严重性，建议受影响的用户立即升级更新到

Apache HTTP Server 2.4.51（已于 10 月 7 日发布）或更高版本。

下 载 链 接 ：

参考链接：

7c4d9498-09ce-c4b4-b1c7-d55512fdc0b0@a

xes-incomplete-patch-for-exploited-bug/