微软2月修复99个漏洞,含1个 0day
聚焦源代码安全,网罗国内外最新资讯!
微软和 Adobe 均发布2月份补丁,其中微软共修复99个漏洞,含1个已遭利用的 0day。Adobe 发布5个安全公告,共解决位于 Framemaker、Experience Manager、Adobe Digital Editions、Flash以及 Acrobat 和 Reader 中的42个 CVE 漏洞。
微软发布2月补丁
2月份,微软发布补丁,共修复99个 CVE 漏洞,涵盖Microsoft Windows、Edge (EdgeHTML)、ChakraCore、IE、SQL Server、Exchange Server 和 Microsoft Malware Protection Engine。在这99个 CVE 中,其中12个是“严重”级别,余下的87个是“重要”级别。微软表示,5个漏洞已遭公开,1个已遭利用。
接下来,我们看一下本月发布的某些值得关注的更新,以及从自1月中旬起就已遭利用的漏洞:
CVE-2020-0674:脚本引擎内存损坏漏洞
该浏览器漏洞影响 IE 以及依赖 Trident 渲染引擎的其它程序。1月17日,微软首次警告用户相关漏洞情况。如果用户浏览一个特殊构造的网站,则攻击者能够执行受影响系统上的代码。即使有的用户并不使用 IE 浏览器,但仍然会经由 Office 文档中的嵌入式对象受影响。鉴于微软提出的应变措施(禁用 jscript.dll)会导致很多功能崩溃,因此用户应该把补丁的测试和部署放在首位。
CVE-2020-0688:微软 Exchange 内存损坏漏洞
存在于 Exchange 中的代码执行漏洞,它虽然仅被评估为“重要”级别,但应将其当做“严重”级别的漏洞处理。攻击者可发送特殊构造的邮件,在受影响的 Exchange 服务器上获得代码执行能力。执行攻击无需用户交互,以系统级别权限执行,因此攻击者仅通过一份邮件就可完全控制 Exchange 服务器。趋势科技 ZDI 后续将发布该漏洞技术详情。
CVE-2020-0729:LNK 远程代码执行漏洞
影响 link 文件 (.LNK) 的漏洞从未让人失望。如果 .LNK 漏洞出现了,那么可能是由 Stuxnet 恶意软件中使用的CVE-2010-2568 漏洞引发的,它仍然是多年来利用最为广泛的缺陷之一。这个漏洞也与之类似。攻击者能够利用它通过让受影响系统处理特殊构造的 .LNK 文件执行代码。说服用户打开远程共享或者像之前那样将 .LNK 文件放在 USB 驱动并让用户打开的方式执行代码。这一方法能够很轻松地利用气隙系统。
CVE-2020-0689:微软安全引导安全特征绕过漏洞
该安全特征绕过漏洞可导致攻击者规避安全引导特征并将不受信任软件加载在受影响系统上。这是2月份修复的已遭公开的漏洞之一。虽然该漏洞是一定要仔细检查的错误,但非标准的打补丁程序会使问题更加复杂。首先必须应用本月的服务堆栈,然后需要安装其它独立的安全更新。如果用户启用了 Windows Defender Credential Guard (虚拟安全模式),则还需要进行两次其它重新引导。这些都是阻止受影响的第三方引导程序的必要条件。
在余下的“严重”级别的补丁中,CVE-2020-0662 最值得注意。该 Windows 可导致攻击者以提升后的权限在受影响系统上执行代码。微软并未说明具体提升的权限级别,但任何代码执行后果都麻烦不断。虽然攻击者需要认证域名之后才能利用该漏洞,但并未列出其它缓解措施。Media Foundation 组件也修复了代码执行漏洞,尽管它发生在已登录用户级别。该 Remote Desktop Client收到多个补丁。由于这些漏洞位于客户端,但并非像 BlueKeep 那样是蠕虫式漏洞。该 Remote Desktop Service 收到了远程代码执行漏洞补丁,但攻击者需要认证后才能滥用剪贴板重定向。这样该漏洞就不属于蠕虫式类别。此外,“严重”级别的漏洞还包括6个其它针对 IE 浏览器的漏洞,但在补丁发布之时它们并未遭攻击。
对于“重要”级别的补丁,提权 (EoP) 漏洞收到了55个补丁,其中大量漏洞或影响内核或内核模式驱动。其它受影响的组件包括 Error Reporting 服务、Installer 服务、Client License 服务以及 Connected Devices Platorm 服务,甚至是 Malicious Software Removal Tool (MSRT) 也收到了 EoP 补丁。另外一个值得注意的是,该 EoP 影响 SSH 组件以及它处理 Secure Socket Shell 远程命令的方式。Windows Installer 服务中的其中两个 EoP 漏洞已遭公开。几乎在每个案例中,攻击者都需要登录到受影响系统并运行特殊构造的程序来提升权限。
2月份,信息泄露漏洞收到16个补丁,包括最后公开的影响 IE 和 Edge浏览器的漏洞。其中5个漏洞发生在Windows Key Isolation 服务的 Cryptography Next Generation (CNG) 部分。利用这些漏洞的攻击者能够收集内存布局数据。正如微软所述,“有助于预测内存寻址的信息”。这是便于利用其它 exploit 的关键数据。
除了此前提到的 Secure Boot 中的安全特征绕过 (SFB) 外,还存在更正 Outlook 和 Surface Hub 中 SFB 的补丁。Outlook URI 解析漏洞需要结合其它 exploit 使用才能执行代码。攻击者需要物理访问 Surface Hub 来利用已修复的漏洞。然而,如果攻击者和该设备位于同一个房间,则他们能够访问在正常情况下仅限于管理员访问的设置。
另外,在这次的微软发布中,Office 收到了关于代码执行和欺骗漏洞的多个补丁。SharePoint 收到了两个 XSS 修复方案。Hyper-V 和 Remote Desktop Protocol 收到了 DoS 漏洞补丁。
尽管并非今天发布,但 ADV200002 在上周重新发布,它似乎是微软用于记录新的机遇 Chromium 的 Edge 浏览器补丁的地方。未来我们将见证微软在修复该浏览器上出现的补丁间隔情况。谷歌表示补丁间隔为15天,而这对于高级威胁行动者而言足够了。
其它值得注意的安全公告是微软版本的 IE 浏览器中 Flash 补丁情况,以及 Windows Servicing Stack 的更新情况(看似是一个标准的每月更新情况)。
Adobe 发布2月补丁
Adobe修复了Framemaker 中通过 ZDI 计划提交的21个严重漏洞,其中多数是可导致代码执行的界外 (OOB) 写入漏洞。Adobe Acrobat 和 Reader 修复了17个CVE 漏洞,其中7格式释放后使用漏洞。这些漏洞中最严重的漏洞可经由特殊构造的文件导致攻击者在受影响的系统上执行代码。Flash 更新修复了一个类型混淆漏洞,可导致以登录用户身份执行代码。Adobe Digital Editions 补丁修复了2个 CVE 漏洞,其中一个是导致代码执行的命令注入漏洞。最后一个补丁修复了 Experience Manager 中的一个拒绝服务漏洞。在发布之日起,这些漏洞均未遭公开或出现在攻击活动中。
还应注意的是,Adobe 在今年1月末发布了 Magento Commerce 平台补丁,修复了6个 CVE 漏洞。Adobe在去年5月份以16.8亿美元的价格收购Magento,该补丁似乎是收购之后发布的首个补丁。这些“严重”和“重要”级别的漏洞均未遭公开或利用。目前尚不清楚 Magento 最终是否会包含在常规的“补丁星期二”中还是会单独发布。
https://www.thezdi.com/blog/2020/2/11/the-february-2020-security-update-review
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,bounty 不停~