(更新)补丁!噩梦结束了，MSHTML修复了，一个新的恐怖出现了

2021年9月的补丁星期二可能会被认为是最后打印噩梦中的修补尝试…噩梦。易受攻击的漏洞对8月份的补丁不屑一顾不指望重播。到目前为止，我们还没有看到任何迹象表明这个补丁是如此容易绕过。

本周二，这个补丁的修复总数达到了86个，其中仅微软Edge就修复了26个。这些漏洞中只有少数被列为零日漏洞，其中两个是“老朋友”。还有第三个不太可能被利用的漏洞，然后我们将引入一套全新的漏洞，昵称为OMIGOD，原因将会变得很明显。

Azure是五个CVE的主题，其中一个被列为关键。研究人员发现了影响开放式管理基础设施（OMI）的四个因素，并将它们分组，得到了“OMI上帝”的绰号。

印刷恶梦

PrintNightmare是一组漏洞的名称，这些漏洞允许Windows网络上的标准用户以SYSTEM的形式在受影响的机器(包括域控制器)上执行任意代码，允许他们将自己的权限提升到域管理员级别。用户只需将恶意的打印机驱动程序输入到易受攻击的机器上，就可以触发该漏洞，并使用他们新发现的超能力来安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。

问题因重大事件而变得更糟混乱关于打印噩梦是一个已知的、修补过的问题还是一个全新的问题，并通过反复尝试（最好是部分成功）来修补它。

本月，微软修补了“打印假脱机程序”的剩余漏洞cve - 2021 - 36958. 祝你好运。

[本

这个零日漏洞感觉像是过去的幽灵（它涉及ActiveX，记得吗？）只是上周发现，但引起了极大的关注。它被列为cve - 2021 - 40444， Microsoft MSHTML中的一个远程代码执行(RCE)漏洞。

威胁参与者在黑客论坛上分享POC、教程和漏洞攻击，因此每个脚本小鬼和想成为黑客的人都能够按照一步一步的指示发起自己的攻击。Microsoft发布了禁用新ActiveX控件安装的缓解说明，但这对于攻击者来说很容易解决。

考虑到短期的机会窗口，周二是否会在该补丁中包含修复程序还有一些疑问，但看起来微软成功地实现了这一点。

DNS特权提升漏洞

此漏洞被列为cve - 2021 - 36968影响运行Windows Server 2008 R2 SP1、SP2和Windows 7 SP1的系统。它的存在是由于应用程序没有在Windows DNS中适当地施加安全限制。该漏洞被列为零日漏洞，是因为它已被公开披露，而不是因为它正在被积极利用。

微软表示，这种攻击“不太可能”，可能是因为它需要初始身份验证，并且只能在本地进行攻击。如果满足这些条件，此错误可用于完成权限提升（EoP）。

奥米上帝

OMIGOD是Open Management Infrastructure (OMI)中的一组4个漏洞的名称，您可以在许多流行的Azure服务中发现这些漏洞。cf是:

• CVE-2021-38647OMI RCE漏洞与CVSS评分9.8分满分10分。
• CVE-2021-38648开放式管理基础架构权限提升漏洞
• CVE-2021-38645开放式管理基础架构权限提升漏洞
• CVE-2021-38649开放式管理基础架构权限提升漏洞

的研究人员发现漏洞，认为OMIGod是使用开源代码的供应链风险的结果：

Wiz的研究团队最近发现了一系列令人担忧的漏洞，突显了开放源代码的供应链风险，尤其是对云计算服务的客户而言。

OMI以root(最高权限级别)的身份运行，当用户启用某些服务(如分布式日志记录或其他管理工具和服务)时，OMI在Azure中被激活。很可能许多用户甚至不知道他们已经运行了它。

RCE漏洞(CVE-2021-38647)可以在以下情况下被利用:通过Internet访问OMI端口以实现远程管理。在此配置中，任何用户都可以使用UNIX套接字或通过HTTP API与它通信，任何用户都可以滥用它来远程执行代码或升级特权。

编码错误意味着对服务的任何传入请求没有授权标头的权限默认为uid=0，gid=0，即root。

上帝啊，对吧？

研究人员报告说，只有当OMI在外部公开HTTPS管理端口时，该漏洞才能用于远程接管目标。这是在Azure configuration Management或System Center Operations Manager（SCOM）中独立安装时的默认配置。其他Azure服务（如日志分析）不公开此端口，因此在这些情况下，范围仅限于本地权限升级。

他们建议所有Azure客户连接到他们的Azure虚拟机，并在他们的终端上运行以下命令，以确保OMI更新到最新版本:

• 对于Debian系统（如Ubuntu）：dpkg - l尾身茂
• 对于基于Redhat的系统(如Fedora, CentOS, RHEL):rpm qa尾身茂

如果未安装OMI，这些命令将不会返回任何结果，您的计算机也不会受到攻击。版本1.6.8.1是经过修补的版本。所有早期版本都需要修补。

更新日期：2021年9月17日

在代码托管网站GitHub上发布了一个概念验证漏洞后，我们注意到攻击者正在寻找运行在微软Azure云基础设施上的Linux服务器。这些系统容易受到名为OMIGOD的安全漏洞的攻击。

根据安全研究人员的报告，攻击者利用OMIGOD漏洞部署恶意软件，诱骗被攻击的服务器进入加密挖矿或DDoS僵尸网络。