美国网络安全和基础设施安全局就15个被黑客积极利用的漏洞发出警告

根据行业媒体的报道，美国网络安全和基础设施安全局(CISA)日前在其漏洞目录中添加了15个漏洞列表，这些漏洞正在被黑客积极利用。有些漏洞可以追溯到2014年，有两个漏洞在过去两年出现在Windows组件中。

美国网络安全和基础设施安全局(CISA)在其咨询报告中表示：“漏洞列表中列出的漏洞是各种恶意网络参与者的常见攻击媒介，并对企业构成重大风险。”根据对网络攻击事件的观察，美国网络安全和基础设施安全局(CISA) 定期更新已知的被利用漏洞目录，每个漏洞都有一个截止日期，联邦机构有义务在其系统上对其进行修补。

SeriousSAM和权限提升

日前添加到列表中的漏洞之一是CVE-2021-36934，它在安全社区中也被称为SeriousSAM，因为它位于Microsoft Windows安全帐户管理器(SAM)中。这个漏洞的CVSS严重性评分为8分(满分10分)，其影响被描述为对Windows 10系统的权限提升。

该漏洞源于对存储SAM数据库的文件的不当文件访问权限，允许具有低权限访问权限的网络攻击者提取其他帐户(包括SYSTEM one)的哈希密码，并以提升的权限来执行代码。该漏洞在2021年7月公开，迫使微软公司在当时发布了一个带外补丁进行修补。

研究人员还表明，网络攻击者可以利用CVE-2021-36934提取哈希值，允许在其他系统上远程执行具有系统权限的代码，从而使该漏洞成为环境内部横向移动的严重风险。

美国网络安全和基础设施安全局为其列出了到今年2月24日的补丁截止日期，尽管它是列表中最新的漏洞。其他漏洞收到了到今年8月10日的补丁截止日期。这表明该机构认为这是一个直接的高风险，即使它是一个权限提升漏洞。.

权限提升漏洞的严重性得分低于远程代码执行漏洞，因为它们要求网络攻击者已经获得对系统的某种级别的访问权限。然而，考虑到网络攻击者可以通过多种方式让他们的代码在系统上执行，这是一个很低的标准：电子邮件网络钓鱼、偷渡式下载、利用低权限应用程序和服务中的漏洞、社交工程等。权限提升漏洞是现代攻击链的重要组成部分，应该像远程代码执行漏洞一样认真对待。

SMB远程代码执行

美国网络安全和基础设施安全局添加到列表中的第二个最新漏洞是CVE-2020-0796，被评为严重漏洞。这一个漏洞由微软公司于2020年3月修补，源于SMB v3协议处理某些压缩请求的方式。它可能导致从客户端到服务器或从服务器到客户端的远程代码执行，并影响Windows 10和Windows Server核心安装。

SMB远程代码执行漏洞是危险的，因为SMB是位于所有Windows网络核心的主要协议，支持文件共享、打印机共享、网络浏览和服务到服务的通信。在过去，EternalBlue(CVE-2017-0144)和EternalRomance(CVE-2017-0145)等SMB漏洞利用导致WannaCry等全球勒索软件升温，造成数十亿美元的损失。事实上，EternalBlue和EternalRomance也是添加到目录中的15个漏洞之一。

其他漏洞

添加到目录中的漏洞列表影响各种常见的企业软件，从Windows和Apple的OSX等操作系统，到Jenkins等自动化服务器，Apache Struts等开发框架，Oracle WebLogic等Web应用程序服务器，Apache Active MQopen-源消息代理甚至路由器固件。其完整列表如下：

•CVE-2021-36934-Microsoft Windows SAM 本地权限提升漏洞  

•CVE-2020-0796-Microsoft SMB v3 远程代码执行漏洞  

•CVE-2018-1000861- Jenkins Stapper Web Framework反序列化不可信数据漏洞

•CVE-2017-9791-Apache Struts 1不正确的输入验证漏洞  

•CVE-2017-8464-Microsoft Windows Shell（.lnk）远程代码执行漏洞

•CVE-2017-10271-Oracle Corporation WebLogic Server远程代码执行漏洞

•CVE-2017-0263-Microsoft Win32k权限升级漏洞

•CVE-2017-0262-Microsoft Office 远程代码执行漏洞

•CVE-2017-0145-Microsoft SMBv1远程代码执行漏洞

••CVE-2017-0144-Microsoft SMBv1远程代码执行漏洞

•CVE-2016-3088-Apache Active MQ不正确输入验证漏洞

•CVE-2015-2051-D-Link DIR-645路由器远程代码执行

•CVE-2015-1635-Microsoft HTTP.sys 远程代码执行漏洞  

•CVE-2015-1130-Apple OS X 身份验证绕过漏洞  

•CVE-2014-4404-Apple OS X 基于堆栈的缓冲区溢出漏洞