微软3月Patch Tuesday修补89个安全漏洞，有5个已被开采

微软于周二（3/9）的3月Patch Tuesday修补了89个安全漏洞，当中有14个被列为重大（Critical）等级。在此次的修补中，有2个漏洞已被公开，另有5个漏洞已经遭到骇客开采。

本月的修补数量计入了微软日前紧急修补的7个Exchange Server漏洞，涵盖CVE-2021-26855、CVE-2021-26857、CVE-2021-27065、CVE-2021-26858、CVE-2021-26412、CVE-2021-26854及CVE-2021-27078，其中，前4个漏洞已遭骇客开采，微软点名开采这4个漏洞的就是中国骇客组织Hafnium，而资安部落格KrebsonSecurity则引述消息来源报导，至少有3万个美国组织因此而受害，骇客的主要目的为窃取受害组织的电子邮件。

除了上述4个Exchange Server漏洞之外，已经被开采的还有CVE-2021-26411，这是存在于IE 11与Microsoft Edge Legacy中的内存毁损漏洞，骇客只要诱导使用者浏览特制的HTML档案，就有机会取得使用者权限于远端执行任意程式，Zero Day Initiative（ZDI）建议，最好不要使用具管理员权限的账号来浏览网页。

另一资安业者Tenable则说明，CVE-2021-26411其实在今年2月就被ENKI揭露，且日前北朝鲜骇客锁定资安研究人员展开攻击的行动中，据说便开采了该漏洞。

由于CVE-2021-26411的概念性验证攻击程式已经现身，使得各家资安业者呼吁用户应尽速修补。

其它受到关注的漏洞还包括已被公开揭露的CVE-2021-27077，它是一个存在于Win32K的权限扩张漏洞，由于仅允许本地端骇客开采，因此只被列为重要（Important）等级，不过，坊间已出现该漏洞的概念性验证程式。

另一个则是CVSS风险等级高达9.8的CVE-2021-26897，它藏匿在Windows DNS Server中，除了允许骇客执行远端程式攻击，也可能造成蠕虫感染，而被ZDI列为应优先修补的漏洞。