微软在2020年10月周二补丁日修复了87个安全漏洞,包括21个远程执行代码漏洞。
微软修复的远程执行代码漏洞影响多款产品,包括Excel,Outlook,Windows Graphics组件和Windows TCP/IP堆栈。
最严重的漏洞是一个编号为CVE-2020-16898的远程执行代码漏洞。该漏洞存在于Windows TCP/IP协议栈。攻击者可通过网络连接向未修复的系统发送恶意ICMPv6 Router Advertisement数据包利用该漏洞接管Windows系统。
微软在安全公告中表示,“当Windows TCP/IP堆栈不当处理 ICMPv6 Router Advertisement数据包时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以获取在目标服务器或客户端上执行代码的能力。”“要利用此漏洞,攻击者可能须将经特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。”
McAfee Advanced Threat Research团队在一篇博客文章中表示,该漏洞的PoC非常的简单,且会立即导致蓝屏死机,这意味着能够设法绕过Windows 10和Windows Server 2019缓解措施的攻击者可能利用该漏洞。由于此类漏洞可变成蠕虫式漏洞,该漏洞如果遭到利用,将会造成大范围的严重影响。
因为该漏洞存在于IMCPv6 Neigh.bor Discovery “Protocol”中,McAfee Advanced Threat Research团队将该漏洞命名为“Bad Neig.hbor”。
对于该漏洞的CVSS 3.0基准评分,微软给出了9.8的高分。该漏洞影响Windows 10和Windows Server 2019。
微软同时提供了一些变通方法,例如禁用ICMPv6 RDNSS支持。
另一个严重的远程执行代码漏洞,编号为CVE-2020-16947,影响MS Outlook。攻击者可通过诱使用户使用脆弱的Outlook版本打开经特殊构造的文件利用该漏洞。
根据微软的安全公告信息,“当Microsoft Outlook软件无法正确处理内存中的对象时,该软件中存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。如果当前用户以管理员用户权限登录,则攻击者可以控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建具有完全用户权限的新帐户。相较于以管理员权限运行的用户,账户被配置成在系统上具有较少用户权限的用户受到的影响较低。”
“利用该漏洞需要用户使用受影响的Microsoft Outlook软件版本打开经特殊构造的文件。”
预览窗格也是该漏洞的攻击向量,因此用户甚至不用打开恶意电子邮件就有可能受到影响。Zero Day Initiative的Dustin Childs指出,该漏洞存在于对电子邮件的HTML内容的解析功能中,源于在将用户提交的数据拷贝到某个长度固定的基于堆的缓冲区之前缺少对该数据长度的正确验证。Dustin Childs同时表示他们已获得了该漏洞的可用PoC。
微软本月修复的所有漏洞可参见https://portal.msrc.microsoft.com/en-us/security-guidance。
来源:freebuf.com 2020-10-14 15:15:44 by: 偶然路过的围观群众
请登录后发表评论
注册