微軟要求系統管理員更新 PowerShell,以修補 WDAC 資安防護跳過漏洞

Microsoft 要求系統管理者立即採取行動,修補 PowerShell 7 的兩個資安漏洞,以防止駭侵者利用這兩個漏洞,跳過 Windows Defender Application Control 的資安防護功能。

Microsoft 日前發布資安通報,要求系統管理者立即採取行動,修補 PowerShell 7 的兩個資安漏洞,以防止駭侵者利用這兩個漏洞,跳過 Windows Defender Application Control 的資安防護功能,取得未編碼的純文字登入資訊。

Windows Defender Application Control(WDAC)是一種用來防止惡意軟體執行的機制,啟動 WDAC 後,只有受信任的應用程式與驅動程式可以執行,而 PowerShell 會限制只能存取部分 Windows API。

然而駭侵者可以利用 CVE-2021-0951 這個漏洞,讓 PowerShell 以完整權限來執行任意程式碼,不會受到 WDAC 的監控與限制。

另一個漏洞 CVE-2021-41355 則是存於 .NET 核心的資訊洩露錯誤,可導致登入資訊以純文字格式傳送到非執行 Windows 作業系統的其他平台上。

CVE-2021-0951 的 CVSS 危險程度評分為 6.7 分(滿分為 10 分),主要影響 PowerShell 7 與 PowerShell 7.1 兩個版本;而 CVE-2021-41355 則為 5.7 分,影響的是 PowerShell 7.1 版本。

用戶可以在命令列模式下輸入「pwsh -v」,來檢視自己 Windows 系統上的 PowerShell 是哪一個版本;Microsoft 建議系統管理員應該將 PowerShell 升級至 7.0.8 與 7.1.5 兩個版本,以避免遭到駭侵者透過這兩個漏洞發動駭侵攻擊。

  • CVE編號:CVE-2021-0951、CVE-2021-41355
  • 影響產品(版本):PowerShell 7、7.1
  • 解決方案:升級至 PowerShell 7.0.8 與 7.1.5

  • 參考連結

Microsoft Security Advisory CVE-2020-0951: Windows Defender Application Control Security Feature Bypass Vulnerability #27

https://github.com/PowerShell/Announcements/issues/27

Microsoft Security Advisory CVE-2021-41355 | .NET Core Information Disclosure Vulnerability #26

https://github.com/PowerShell/Announcements/issues/26

Windows Defender Application Control Security Feature Bypass Vulnerability

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-0951

.NET Core and Visual Studio Information Disclosure Vulnerability

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-41355

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()