Microsoft于2020年7月發(fā)布的Patch Tuesday安全更新修復了123個漏洞����,其中18個被評為嚴重,可能導致遠程執(zhí)行代碼���。
嚴重漏洞影響Windows��,.NET框架�,Internet Explorer,SharePoint��,Visual Studio��,Office和Hyper-V��。本月修補的漏洞似乎都沒有被攻擊利用����,但是在發(fā)布此修補程序之前�����,已公開披露了一個問題���,即影響Windows SharedStream庫的重要級別特權(quán)升級弱點����。
本月修補的最嚴重的漏洞似乎是CVE-2020-1350�����,它影響Windows DNS服務器,并允許未經(jīng)身份驗證的攻擊者通過向服務器發(fā)送經(jīng)特殊設計的請求來在本地系統(tǒng)帳戶的上下文中運行任意代碼����。
Microsoft已將該漏洞描述為可蠕蟲,并且專家建議用戶��,因為存在很高的利用風險�����,因此應盡快安裝此修補程序�。
“我們認為這是一個可感染的漏洞,這意味著它有可能通過惡意軟件在易受攻擊的計算機之間傳播�����,而無需用戶干預��。DNS是基礎網(wǎng)絡組件�����,通常安裝在域控制器上����,因此��,折衷辦法可能導致重大服務中斷和高級域帳戶的折衷���!
趨勢科技的零日漏洞倡議(ZDI)指出����,這是微軟第五次修補110多個漏洞,使2020年的漏洞總數(shù)達到742個����,這已經(jīng)高于2017年和2018年修復的漏洞總數(shù)。目前只有不到700個CVE���,從2019年起它很快就會超過851個CVE����。
來自多家網(wǎng)絡安全公司的專家對本月的補丁發(fā)表了評論:
ZDI傳播經(jīng)理Dustin Childs:
“請盡快修補CVE-2020-1350��!此修補程序修復了Windows DNS服務器服務中CVSS 10額定的錯誤���,如果受影響的系統(tǒng)收到特制的請求,該錯誤可能允許在本地系統(tǒng)帳戶級別執(zhí)行未經(jīng)身份驗證的代碼��。這使得此漏洞易于感染-至少在受影響的DNS服務器之間。微軟還建議進行注冊表編輯�����,以限制服務器將處理的TCP數(shù)據(jù)包的大小�,這是一種解決方法,但它們并未列出該注冊表更改的任何潛在副作用�。攻擊向量需要非常大的DNS數(shù)據(jù)包,因此無法通過UDP進行攻擊����。
本月還修復了14個信息泄露錯誤。這些補丁中有兩個是針對Skype for Business的��,可能會泄露Skype配置文件數(shù)據(jù)或用戶的其他PII��。
該版本包括用于LNK文件的另一個補丁����?紤]到這是今年要解決的第四個問題����,前三個問題之一似乎未完全解決潛在的漏洞。
該發(fā)行版提供了一些跨站點腳本錯誤和拒絕服務(DoS)錯誤的修補程序�����。DoS錯誤中包括Bond的.NET實現(xiàn)的新版本����?吹接糜陂_源軟件的Microsoft補丁很奇怪,但這是一個受歡迎的事件�。”
Rapid7高級軟件工程師Richard Tsang:
“本補丁程序星期二的明星是CVE-2020-1350���,這是運行Windows DNS服務器服務的Windows服務器上的可蠕蟲漏洞�。該漏洞包括Windows Server 2008和Windows Server 2008 R2之類的ESU服務器�,但是擴展到了所有可以運行Windows DNS服務器服務的受支持版本的Windows Server。
注意的另一個漏洞是CVE-2020-1374����。這是一個遠程桌面客戶端遠程執(zhí)行代碼漏洞,其中連接到惡意服務器的Windows遠程桌面客戶端的漏洞版本可能允許攻擊者以其具有完全用戶權(quán)限的方式進行操作����。借助大量的社會工程或其他手段(例如使用中間人攻擊)���,從Windows 7的操作系統(tǒng)版本到Windows 10的最新版本(2004)的毫無戒心的用戶可能會受到此影響��。
奇怪的是�,圍繞CVE-2020-1032,CVE-2020-1036���,CVE-2020-1040����,CVE-2020-1041����,CVE-2020-1042和CVE-2020-1043制作了補丁。 Hyper-V主機上的Hyper-V RemoteFX vGPU功能��。最糟糕的情況是����,攻擊者可以在主機系統(tǒng)上執(zhí)行任意代碼。鑒于RemoteFX vGPU不再處于活躍的開發(fā)中���,如果您的環(huán)境對RemoteFX有嚴格的要求�����,Microsoft將提供有關(guān)協(xié)助遷移該功能的更多詳細信息�����。
CVE-2020-1346是本補丁程序星期二與規(guī)范有所不同的最后一個操作方面��,CVE-2020-1346是所有Windows OS(適用于ESU或更高版本)的Windows模塊安裝程序組件中的特權(quán)提升漏洞����。在這種情況下,應在安裝累積更新/每月匯總或安全更新補丁之前安裝本月發(fā)行的服務堆棧更新���。盡管未明確概述�����,但在解決CVE-2020-1350等其他問題時�,遵循Microsoft的CVE-2020-1346指導可能會對操作順序產(chǎn)生直接影響���������!
Automox戰(zhàn)略產(chǎn)品營銷經(jīng)理Jay Goodman:
“首先,CVE-2020-1147�����、1421和1403是Windows .NET Framework��,LNK和VBScript中的遠程代碼執(zhí)行漏洞���。這三種服務在Windows操作系統(tǒng)中非常普遍�����。.NET漏洞幾乎在每種Microsoft OS風格中都將框架的每個版本都恢復到2.0�。這些服務的通用性可能會引起對手的廣泛攻擊���。在DirectWrite和GDI +(CVE-2020-1409和CVE-2020-1435)和PerformancePoint Services(CVE-2020-1439)中發(fā)現(xiàn)了其他遠程代碼執(zhí)行漏洞��。DirectWrite和GDI +是Microsoft提供的文本布局和渲染API�����,通常由第三方瀏覽器(例如Chrome)使用�。
遠程執(zhí)行代碼漏洞使攻擊者可以訪問系統(tǒng)并讀取或刪除內(nèi)容���,進行更改或直接在系統(tǒng)上運行代碼��。這使攻擊者不僅可以快速輕松地訪問您組織的數(shù)據(jù)�,還可以提供一個平臺來對環(huán)境中的其他設備執(zhí)行其他惡意攻擊。LNK和VBScript以及.NET Framework之類的服務在許多Windows系統(tǒng)中極為普遍���。一旦獲得訪問權(quán)限��,攻擊者就有大量潛在目標可以攻陷并輕松地橫向移動�����。
Microsoft還提供了有關(guān)在IIS服務器上啟用請求走私篩選的指南���。Microsoft指出,他們意識到HTTP代理和Web服務器處理來自多個源的HTTP請求序列的方式中存在潛在的篡改漏洞���。攻擊者可以通過將多個請求合并到對Web服務器的單個請求的正文中來利用此漏洞�,從而允許他們修改響應或從其他用戶的HTTP會話中檢索信息�。盡管沒有立即解決此漏洞的補丁,但是Microsoft的指南確實提供了一個快速篩選器注冊表添加項��,可以保護您的Web服務器��。”
記錄未來�����,Insikt集團經(jīng)理David Carver:
“本星期二補丁程序的重要屬性之一是所披露的RCE漏洞數(shù)量�����,這些漏洞影響了廣泛使用的Microsoft產(chǎn)品�����。例如����,CVE-2020-1374允許基于Windows遠程桌面客戶端中的漏洞的遠程代碼執(zhí)行��,可以通過說服用戶訪問惡意服務器來加以利用�,并影響Windows 7至10和Windows Server 2008至2019年。
影響相同產(chǎn)品范圍的其他RCE漏洞包括CVE-2020-1410�,該漏洞影響Windows通訊簿,并且可以通過惡意vcard文件加以利用�����。CVE-2020-1421,該文件會影響.LNK文件����,并可能通過惡意可移動驅(qū)動器或遠程共享進行利用;CVE-2020-1435和CVE-2020-1436����,它們分別影響Windows圖形設備界面和Windows字體庫,并且都可以通過惡意鏈接或文檔加以利用��������!
Checkmarx安全研究總監(jiān)Erez Yalon:
“ Microsoft最新的補丁程序星期二更新顯示了針對遠程執(zhí)行代碼(RCE)漏洞的多個修復程序���,這些漏洞涵蓋了包括DNS服務器(CVE-2020-1350),Microsoft Office(CVE-2020-1458)��,Outlook(CVE-2020-1349)的入口點���,以及.NET Framework和Visual Studio(CVE-2020-1147)等開發(fā)工具����。
RCE或能夠在易受攻擊的系統(tǒng)上運行代碼的危險聽起來像是危險的。通過RCE��,攻擊者可以安裝程序以及查看���,更改或刪除數(shù)據(jù)����。這種攻擊方法可以成為組織的切入點���,為網(wǎng)絡犯罪分子提供進行更復雜攻擊的關(guān)鍵。如果在關(guān)鍵用戶或系統(tǒng)上加以利用�����,這也可能意味著整個個人或整個組織的“游戲結(jié)束”��。
具體而言�,開發(fā)人員工具中的RCE漏洞(如本月在.NET Framework和Visual Studio程序中所見證的)可以使攻擊者接管有權(quán)訪問源代碼以及潛在生產(chǎn)環(huán)境的用戶的計算機。組織���,這意味著知識產(chǎn)權(quán)現(xiàn)在也處于危險之中���。
總體而言�����,本月的補丁程序表明RCE漏洞在今天仍然非常普遍�,個人應立即更新所有受影響的Microsoft產(chǎn)品和服務����,以保持強大的安全狀態(tài)�!
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
