微軟在本月補(bǔ)丁星期二活動發(fā)布的Windows 10累積補(bǔ)丁更新，主要是對系統(tǒng)安全性進(jìn)行優(yōu)化。不過對于Windows和Microsoft Exchange管理員來說，最近幾個(gè)月一直非常忙碌，4月累積更新修復(fù)了5個(gè)零日漏洞和更多的Exchange漏洞。

在今天的更新中，微軟共計(jì)修復(fù)了108處漏洞，其中19個(gè)標(biāo)記為“關(guān)鍵漏洞”（Critial），89 個(gè)標(biāo)記為“重要漏洞”（Important）。而且這些漏洞并不包含本月初發(fā)布的6個(gè)Chromium Edge漏洞。

此外，今天微軟還修復(fù)了 5 個(gè)公開披露的零日漏洞，其中1個(gè)已知用于網(wǎng)絡(luò)攻擊。更糟糕的是，微軟修復(fù)了 NSA 發(fā)現(xiàn)的 4 個(gè)關(guān)鍵的Microsoft Exchange漏洞。作為今天補(bǔ)丁星期二的一部分，微軟已經(jīng)修復(fù)了4個(gè)公開披露的漏洞和一個(gè)主動利用的漏洞。

以下 4個(gè)漏洞微軟表示已經(jīng)公開暴露，但沒有證據(jù)表明被黑客利用。

CVE-2021-27091 - RPC端點(diǎn)映射器服務(wù)權(quán)限提升的漏洞

CVE-2021-28312 - Windows NTFS拒絕服務(wù)漏洞

CVE-2021-28437 - Windows安裝程序信息泄露漏洞- PolarBear

CVE-2021-28458 - Azure ms-rest-nodeauth庫的權(quán)限提升漏洞

卡巴斯基研究人員 Boris Larin發(fā)現(xiàn)的以下漏洞已經(jīng)被黑客組織BITTER APT利用。

CVE-2021-28310 - Win32k 提升權(quán)限漏洞

卡巴斯基在博文中解釋道：“不幸的是，我們無法捕捉到一個(gè)完整的鏈條，所以我們不知道該漏洞是否與另一個(gè)瀏覽器零日配合使用，或者與已知的、打過補(bǔ)丁的漏洞結(jié)合在一起使用”。

微軟 Exchange 的管理員們并沒有得到任何休息，因?yàn)榻裉煊钟?個(gè)NSA發(fā)現(xiàn)的關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞在微軟Exchange中得到了修復(fù)。其中兩個(gè)漏洞是預(yù)認(rèn)證，這意味著它們不需要攻擊者先登錄服務(wù)器。

CVE-2021-28480--微軟Exchange服務(wù)器遠(yuǎn)程代碼執(zhí)行漏洞

CVE-2021-28481 - 微軟Exchange服務(wù)器遠(yuǎn)程代碼執(zhí)行漏洞

CVE-2021-28482 - 微軟Exchange服務(wù)器遠(yuǎn)程代碼執(zhí)行漏洞

CVE-2021-28483 - 微軟Exchange服務(wù)器遠(yuǎn)程代碼執(zhí)行漏洞

完整報(bào)告如下