Microsoft 日前發布資安通報,要求系統管理者立即採取行動,修補 PowerShell 7 的兩個資安漏洞,以防止駭侵者利用這兩個漏洞,跳過 Windows Defender Application Control 的資安防護功能,取得未編碼的純文字登入資訊。
Windows Defender Application Control(WDAC)是一種用來防止惡意軟體執行的機制,啟動 WDAC 後,只有受信任的應用程式與驅動程式可以執行,而 PowerShell 會限制只能存取部分 Windows API。
然而駭侵者可以利用 CVE-2021-0951 這個漏洞,讓 PowerShell 以完整權限來執行任意程式碼,不會受到 WDAC 的監控與限制。
另一個漏洞 CVE-2021-41355 則是存於 .NET 核心的資訊洩露錯誤,可導致登入資訊以純文字格式傳送到非執行 Windows 作業系統的其他平台上。
CVE-2021-0951 的 CVSS 危險程度評分為 6.7 分(滿分為 10 分),主要影響 PowerShell 7 與 PowerShell 7.1 兩個版本;而 CVE-2021-41355 則為 5.7 分,影響的是 PowerShell 7.1 版本。
用戶可以在命令列模式下輸入「pwsh -v」,來檢視自己 Windows 系統上的 PowerShell 是哪一個版本;Microsoft 建議系統管理員應該將 PowerShell 升級至 7.0.8 與 7.1.5 兩個版本,以避免遭到駭侵者透過這兩個漏洞發動駭侵攻擊。
- CVE編號:CVE-2021-0951、CVE-2021-41355
- 影響產品(版本):PowerShell 7、7.1
- 解決方案:升級至 PowerShell 7.0.8 與 7.1.5
本文轉載自TWCERT/CC。