漏洞背景
近日,微软共发布了123个漏洞的补丁程序和1个安全更新指南(ADV200008),其中,Windows DNS Server、.NET Framework、Remote Desktop Client、VBScript脚本引擎、Microsoft Office、Hyper-V RemoteFX vGPU、Microsoft Outlook、DirectWrite、Window Address Book、LNK、GDI+、Windows Font Library、PerformancePoint Services等产品中的18个漏洞被微软官方标记为紧急漏洞。经研判,以下24个漏洞(包括18个紧急漏洞和6个重要漏洞)影响较大。
【漏洞编号】
CVE-2020-1350、CVE-2020-1374、CVE-2020-1147、CVE-2020-1403CVE-2020-1349、CVE-2020-1421CVE-2020-1435、CVE-2020-1436、CVE-2020-1409、CVE-2020-1410CVE-2020-1032、CVE-2020-1036、CVE-2020-1040、CVE-2020-1041、CVE-2020-1042、CVE-2020-1043、CVE-2020-1439、CVE-2020-1025、CVE-2020-1446、CVE-2020-1447、CVE-2020-1381、CVE-2020-1382、CVE-2020-1399、CVE-2020-1426
【利用难度】容易
【威胁等级】高危
值得注意的是,微软将CVE-2020-1350 Windows DNS Server远程代码执行漏洞标记为“Exploitation More Likely”,并认为该漏洞可引发蠕虫式传播。经研判,该漏洞无需交互、不需要身份认证且Windows DNS Server默认配置可触发,目前,该漏洞细节已公开。另外,CVE-2020-1147、CVE-2020-1374、CVE-2020-1403、CVE-2020-1381、CVE-2020-1382、CVE-2020-1399、CVE-2020-1426也被微软标记为 “Exploitation More Likely”,这代表这些漏洞更容易被利用。漏洞详情
1.Windows DNS Server远程代码执行漏洞
漏洞类型:远程代码执行
风险等级:紧急
漏洞ID:CVE-2020-1350
漏洞描述:
Windows DNS Server 在处理特定的请求时,存在一个远程代码执行漏洞。未经身份验证的攻击者可通过向目标DNS服务器发送特制数据包来利用此漏洞,成功利用此漏洞的远程攻击者可在目标系统上以本地SYSTEM账户权限执行任意代码。该漏洞无需交互、不需要身份认证且Windows DNS Server默认配置可触发。微软将该漏洞标记为“Exploitation More Likely”,并认为该漏洞可引发蠕虫式传播,目前,该漏洞细节已公开。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
2.Remote Desktop Client远程代码执行漏洞漏洞类型:远程代码执行
风险等级:紧急
漏洞ID:CVE-2020-1374
漏洞描述:
Windows Remote Desktop客户端存在一个远程代码执行漏洞。攻击者可通过维护一台恶意服务器并诱导用户连接来利用此漏洞,成功利用此漏洞的攻击者可在目标系统上以该用户权限执行任意代码。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1374
3.NET Framework, SharePoint Server和Visual Studio远程代码执行漏洞
漏洞类型:远程代码执行
风险等级:紧急
漏洞ID:CVE-2020-1147
漏洞描述:
.NET Framework, SharePoint Server和Visual Studio在检查XML文件输入的源标记时存在一个远程代码执行漏洞。攻击者可通过向服务器上传一个特制文档来利用此漏洞,成功利用此漏洞的攻击者可在目标系统上使用XML内容反序列化的进程上下文执行任意代码。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1147
4.VBScript脚本引擎远程代码执行漏洞
漏洞类型:远程代码执行
风险等级:紧急
漏洞ID:CVE-2020-1403
漏洞描述:
VBScript引擎在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过诱导用户打开嵌入标记为“初始化安全”的ActiveX控件的应用程序或Microsoft Office文档等方式来利用此漏洞,攻击者还可以通过攻击脆弱网站、向内容或广告服务提供商添加特制内容来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1403
5.Microsoft Outlook 远程代码执行漏洞
漏洞类型:远程代码执行
风险等级:紧急
漏洞ID:CVE-2020-1349
漏洞描述:
Microsoft Outlook在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过向用户发送带有特制文件的邮件并诱导用户使用受影响的Microsoft Outlook打开该特制文件来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上使用当前用户安全上下文执行任意代码。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1349
6.LNK远程代码执行漏洞
漏洞类型:远程代码执行
风险等级:紧急
漏洞ID:CVE-2020-1421
漏洞描述:
Microsoft Windows在处理.LNK文件时,存在远程代码执行漏洞。攻击者可通过诱导用户打开包含恶意.LNK文件以及与其关联的恶意可执行文件的可移动驱动器或远程共享来利用此漏洞,成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1421
7.GDI+远程代码执行漏洞
漏洞类型:远程代码执行
风险等级:紧急
漏洞ID:CVE-2020-1435
漏洞描述:
Windows Graphics Device Interface (GDI) 在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过诱导用户打开恶意网站,如点击邮件或即时消息中的链接来利用此漏洞,攻击者还可通过向用户发送特制文件并诱导用户打开来利用此漏洞,成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1435
8.Windows Font Library远程代码执行漏洞
漏洞类型:远程代码执行
风险等级:紧急
漏洞ID:CVE-2020-1436
漏洞描述:
Windows Font Library在处理特制字体时,存在一个远程代码执行漏洞。攻击者可通过诱导用户打开恶意网站,如点击邮件或即时消息中的链接来利用此漏洞,攻击者还可通过向用户发送特制文件并诱导用户打开来利用此漏洞,成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1436
9.DirectWrite远程代码执行漏洞
漏洞类型:远程代码执行
风险等级:紧急
漏洞ID:CVE-2020-1409
漏洞描述:
DirectWrite在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过诱导用户打开特制文件或诱导用户访问不受信任的网站来利用此漏洞,成功利用此漏洞的远程攻击者可在目标系统上以完全用户权限执行任意代码。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1409
10.Window Address Book远程代码执行漏洞
漏洞类型:远程代码执行
风险等级:紧急
漏洞ID:CVE-2020-1410漏洞描述:Windows Address Book (WAB)在处理vcard文件时,存在一个远程代码执行漏洞。攻击者可通过向用户发送特制vcard文件并诱导用户打开来利用此漏洞,成功利用此漏洞的远程攻击者可在目标系统上执行任意代码。参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1410
11.Hyper-V RemoteFX vGPU远程代码执行漏洞
漏洞类型:远程代码执行
风险等级:紧急
漏洞ID:CVE-2020-1032、CVE-2020-1036、CVE-2020-1040、CVE-2020-1041、CVE-2020-1042、CVE-2020-1043漏洞描述:当主机服务器上的 Hyper-V RemoteFX vGPU无法正确验证Guest操作系统上经身份验证的用户的输入时,存在六个远程代码执行漏洞(CVE-2020-1032、CVE-2020-1036、CVE-2020-1040、CVE-2020-1041、CVE-2020-1042、CVE-2020-1043)。攻击者可通过在Guest操作系统上运特制程序攻击运行在Hyper-V host操作系统上的第三方视频驱动来利用此漏洞,成功利用此漏洞的攻击者可在Host 操作系统上执行任意代码。参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1032
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1036
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1040
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1041
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1042
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1043
12.PerformancePoint Services远程代码执行漏洞
漏洞类型:远程代码执行
风险等级:紧急
漏洞ID:CVE-2020-1439
漏洞描述:
SharePoint服务器中的PerformancePoint服务在处理XML文件输入的源标记时,存在一个远程代码执行漏洞。攻击者可通过向受影响服务器上传特制文档来利用此漏洞,成功利用此漏洞的攻击者可在负责反序列化XML内容的进程上下文中执行任意代码。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1439
13.Microsoft Office权限提升漏洞
漏洞类型:权限提升
风险等级:紧急
漏洞ID:CVE-2020-1025
漏洞描述:
Microsoft SharePoint Server 和 Skype for Business Server 在处理OAuth Token 验证时,存在一个权限提升漏洞。攻击者可通过修改token来利用此漏洞,成功利用此漏洞的攻击者可绕过身份验证访问数据。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-102
14.Microsoft Word 远程代码执行漏洞
漏洞类型:远程代码执行
风险等级:重要
漏洞ID:CVE-2020-1446、CVE-2020-1447
漏洞描述:
Microsoft Word 在处理内存中的对象时,存在一个远程代码执行漏洞(CVE-2020-1446、CVE-2020-1447)。攻击者可通过诱导用户使用Microsoft Word 打开特制文件来利用此漏洞,如向用户发送带有恶意附件的邮件,然后诱导用户打开。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1446
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1447
15.Windows Graphics组件权限提升漏洞
漏洞类型:权限提升
风险等级:重要
漏洞ID:详见
漏洞描述:VE-2020-1381、CVE-2020-1382
Windows Graphics组件在处理内存中的对象时,存在两个权限提升漏洞(CVE-2020-1381、CVE-2020-1382)。攻击者可通过在受影响系统上运行特制程序来利用此漏洞,成功利用此漏洞的攻击者可获得目标系统上的高权限。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1381
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1382
16.Windows Graphics组件权限提升漏洞
漏洞类型:权限提升
风险等级:重要
漏洞ID:详见
漏洞描述:VE-2020-1381、CVE-2020-1382
Windows Graphics组件在处理内存中的对象时,存在两个权限提升漏洞(CVE-2020-1381、CVE-2020-1382)。攻击者可通过在受影响系统上运行特制程序来利用此漏洞,成功利用此漏洞的攻击者可获得目标系统上的高权限。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1381
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1382
17.Windows Kernel信息泄露漏洞
漏洞类型:信息泄露
风险等级:重要
漏洞ID:CVE-2020-1426
漏洞描述:
Windows Kernel在处理内存中的对象时,存在一个信息泄露漏洞。经过身份验证的攻击者可通过在受影响系统上运行特制程序来利用此漏洞,成功利用此漏洞的攻击者可获得内核敏感数据。
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1426
18.ADV200008 Microsoft IIS Server 启用请求走私过滤器指南漏洞类型:HTTP请求走私风险等级:重要漏洞ID:ADV200008漏洞描述:Microsoft IIS Server在处理从多个来源接收的HTTP请求序列时,存在一个请求走私漏洞。未经身份验证的攻击者可通过在受影响IIS服务器发送特制请求来利用此漏洞,成功利用此漏洞的攻击者可修改其他用户HTTP会话中的响应或窃取信息。参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV20000
解决方案
网思科平威胁分析中心建议用户:及时更新Microsoft Windows的版本,设置自动开启Windows更新。或通过微软官方链接下载补丁安装。
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-jul
产品侧解决方案:
- 天蝎下一代终端安全防护平台
国内终端安全行业整体还正处于从被动防御向主动防御及威胁情报过度的初始阶段,网思科平的核心团队拥有超过十年的技术沉淀,对标国外端点安全独角兽CrowdStrike,打造出技术路线与全球同步的终端安全产品—— “天蝎下一代终端安全防护平台”:
天蝎下一代终端安全防护平台以纯正的EDR(天蝎终端侦测与响应系统)、天蝎防护框架(SDF)为核心技术,实现了:
- 实时的威胁告警,并提供溯源;
- 有效避免勒索、挖矿病毒、APT木马等恶意程序;
- 更加完善的告警分析,做到有目标、有节奏、有头绪的分析;
- 对网内的终端安全状况了然于胸;
- 更低的资源占用;
- 基于云端的多引擎病毒鉴定;
- 知己知彼,通过攻击阶段以及技术指标命中时序对攻击者能力以及网内薄弱的地方进行监控溯源;
- 持续的终端监控,通过上下文分析能以网内安全状况及时调整安全策略。
天蝎下一代终端安全防护平台与CrowdStrike功能对比
- 天蝎Web威胁监测与溯源系统
天蝎Web威胁监测与溯源系统能通过旁路镜像流量的方式对网络流量进行检测,定期主动进行漏洞扫描,辅以弱点分析引擎,深度分析漏洞来源,提前发现漏洞。
来源:freebuf.com 2020-07-17 09:56:51 by: Onescorpion网思科平
请登录后发表评论
注册