2021年11月9日，微軟11月補(bǔ)丁星期二活動日，微軟發(fā)布了一系列的安全更新，一共修復(fù)了55個漏洞，還包括兩個正在被黑客積極利用的0Day漏洞。

其中，提權(quán)型漏洞數(shù)量最多，有20個，遠(yuǎn)程代碼執(zhí)行漏洞15個，信息泄露漏洞10個，余下還有拒絕服務(wù)漏洞、欺騙型漏洞和安全功能繞過漏洞。

[[434419]]

本次安全更新補(bǔ)丁涉及的主要是以下產(chǎn)品和服務(wù)：

Microsoft Windows and Windows Components, Azure, Azure RTOS, Azure Sphere, Microsoft Dynamics, Microsoft Edge (Chromium-based), Exchange Server, Microsoft Office, Office Components, Windows Hyper-V, Windows Defender，Visual Studio

據(jù)微軟發(fā)布的漏洞更新報告，“Microsoft Exchange Server 存在一個身份驗(yàn)證漏洞(編號CVE-2021-42321 )，有可能會被黑客利用進(jìn)行有限的針對性攻擊，因此建議企業(yè)立即安裝新的補(bǔ)丁，保護(hù)系統(tǒng)環(huán)境安全。該漏洞會影響本地 Microsoft Exchange Server，包括用戶在Exchange 混合模式下使用的服務(wù)器，但Exchange Online 不會收到影響，無需采取任何行動。”

在本次修復(fù)的55個漏洞中，有6個關(guān)鍵性漏洞，49個嚴(yán)重漏洞，其中有4個漏洞是通過 ZDI程序公開披露。

從以往數(shù)據(jù)來看，11月安全更新的補(bǔ)丁數(shù)量相對處于歷史低位。2020年平均每月發(fā)布的安全補(bǔ)丁數(shù)量是2021年11月的2倍多，即使是在2018年，全年發(fā)布的漏洞補(bǔ)丁也達(dá)到了691個，平均每月補(bǔ)丁數(shù)量也比11月多。

此外，微軟在漏洞更新報告中著重提醒，Microsoft Exchange Server 和 Microsoft Excel中的兩個0Day漏洞目前正在被黑客積極利用，應(yīng)引起企業(yè)高度重視。

[[434420]]

以下是兩個漏洞的信息：

• CVE-2021-42321，Microsoft Exchange Server 遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞是因?yàn)閏mdlet 參數(shù)驗(yàn)證不當(dāng)而導(dǎo)致的遠(yuǎn)程代碼執(zhí)行問題，曾在2021年的天府杯大賽中被使用，黑客可利用該漏洞破解身份驗(yàn)證。
• CVE-202 1-42292，Microsoft Excel 安全功能繞過漏洞。這個一個代碼執(zhí)行漏洞，被Microsoft 威脅情報中心發(fā)現(xiàn)，并被黑客積極用于惡意攻擊。受害者使用受影響的Excel 版本打開特制文件就會觸發(fā)該漏洞。

其他四個公開披露的漏洞：

• CVE-2021-38631 – Windows 遠(yuǎn)程桌面協(xié)議 (RDP) 信息泄露漏洞
• CVE-2021-41371 – Windows 遠(yuǎn)程桌面協(xié)議 (RDP) 信息泄露漏洞
• CVE-2021-43208 – 3D 查看器遠(yuǎn)程代碼執(zhí)行漏洞
• CVE-2021-43209 – 3D 查看器遠(yuǎn)程代碼執(zhí)行漏洞

參考來源：https://securityaffairs.co/wordpress/124405/security/microsoft-patch-tuesday-november-2021.html