导读 Microsoft于2020年7月发布的Patch Tuesday安全更新修复了123个漏洞,其中18个被评为严重,可能导致远程执行代码。严重漏洞影响Windows,.NET框架,Internet Explorer,SharePoint,Visual Studio,Office和Hyper-V。本月修补的漏洞似乎都没有被攻击利用,但是在发布此修补程序之前,已公开披露了一个问题,即影响Windows SharedStream库的重要级别特权升级弱点。

本次漏洞概况

本月修补的最严重的漏洞似乎是CVE-2020-1350,它影响Windows DNS服务器,并允许未经身份验证的攻击者通过向服务器发送经特殊设计的请求来在本地系统帐户的上下文中运行任意代码。

Microsoft已将该漏洞描述为可蠕虫,并且专家建议用户,因为存在很高的利用风险,因此应尽快安装此修补程序。

“我们认为这是一个可感染的漏洞,这意味着它有可能通过恶意软件在易受攻击的计算机之间传播,而无需用户干预。DNS是基础网络组件,通常安装在域控制器上,因此,折衷办法可能导致重大服务中断和高级域帐户的折衷。”

趋势科技的零日漏洞倡议(ZDI)指出,这是微软第五次修补110多个漏洞,使2020年的漏洞总数达到742个,这已经高于2017年和2018年修复的漏洞总数。目前只有不到700个CVE,从2019年起它很快就会超过851个CVE。

来自多家网络安全公司的专家对本月的补丁发表了评论

ZDI传播经理Dustin Childs:

 “请尽快修补CVE-2020-1350!此修补程序修复了Windows DNS服务器服务中CVSS 10额定的错误,如果受影响的系统收到特制的请求,该错误可能允许在本地系统帐户级别执行未经身份验证的代码。这使得此漏洞易于感染-至少在受影响的DNS服务器之间。微软还建议进行注册表编辑,以限制服务器将处理的TCP数据包的大小,这是一种解决方法,但它们并未列出该注册表更改的任何潜在副作用。攻击向量需要非常大的DNS数据包,因此无法通过UDP进行攻击。

 本月还修复了14个信息泄露错误。这些补丁中有两个是针对Skype for Business的,可能会泄露Skype配置文件数据或用户的其他PII。

 该版本包括用于LNK文件的另一个补丁。考虑到这是今年要解决的第四个问题,前三个问题之一似乎未完全解决潜在的漏洞。

 该发行版提供了一些跨站点错误和拒绝服务(DoS)错误的修补程序。DoS错误中包括Bond的.NET实现的新版本。看到用于开源软件的Microsoft补丁很奇怪,但这是一个受欢迎的事件。”

Rapid7高级软件工程师Richard Tsang:

 “本补丁程序星期二的明星是CVE-2020-1350,这是运行Windows DNS服务器服务的Windows服务器上的可蠕虫漏洞。该漏洞包括Windows Server 2008和Windows Server 2008 R2之类的ESU服务器,但是扩展到了所有可以运行Windows DNS服务器服务的受支持版本的Windows Server。

 注意的另一个漏洞是CVE-2020-1374。这是一个远程桌面客户端远程执行代码漏洞,其中连接到恶意服务器的Windows远程桌面客户端的漏洞版本可能允许攻击者以其具有完全用户权限的方式进行操作。借助大量的社会工程或其他手段(例如使用中间人攻击),从Windows 7的操作系统版本到Windows 10的最新版本(2004)的毫无戒心的用户可能会受到此影响。

 奇怪的是,围绕CVE-2020-1032,CVE-2020-1036,CVE-2020-1040,CVE-2020-1041,CVE-2020-1042和CVE-2020-1043制作了补丁。 Hyper-V主机上的Hyper-V RemoteFX vGPU功能。最糟糕的情况是,攻击者可以在主机系统上执行任意代码。鉴于RemoteFX vGPU不再处于活跃的开发中,如果您的环境对RemoteFX有严格的要求,Microsoft将提供有关协助迁移该功能的更多详细信息。

 CVE-2020-1346是本补丁程序星期二与规范有所不同的最后一个操作方面,CVE-2020-1346是所有Windows OS(适用于ESU或更高版本)的Windows模块安装程序组件中的特权提升漏洞。在这种情况下,应在安装累积更新/每月汇总或安全更新补丁之前安装本月发行的服务堆栈更新。尽管未明确概述,但在解决CVE-2020-1350等其他问题时,遵循Microsoft的CVE-2020-1346指导可能会对操作顺序产生直接影响。”

Automox战略产品营销经理Jay Goodman:

 “首先,CVE-2020-1147、1421和1403是Windows .NET Framework,LNK和VBScript中的远程代码执行漏洞。这三种服务在Windows操作系统中非常普遍。.NET漏洞几乎在每种Microsoft OS风格中都将框架的每个版本都恢复到2.0。这些服务的通用性可能会引起对手的广泛攻击。在DirectWrite和GDI +(CVE-2020-1409和CVE-2020-1435)和PerformancePoint Services(CVE-2020-1439)中发现了其他远程代码执行漏洞。DirectWrite和GDI +是Microsoft提供的文本布局和渲染API,通常由第三方浏览器(例如Chrome)使用。

 远程执行代码漏洞使攻击者可以访问系统并读取或删除内容,进行更改或直接在系统上运行代码。这使攻击者不仅可以快速轻松地访问您组织的数据,还可以提供一个平台来对环境中的其他设备执行其他恶意攻击。LNK和VBScript以及.NET Framework之类的服务在许多Windows系统中极为普遍。一旦获得访问权限,攻击者就有大量潜在目标可以攻陷并轻松地横向移动。

 Microsoft还提供了有关在IIS服务器上启用请求走私筛选的指南。Microsoft指出,他们意识到HTTP代理和Web服务器处理来自多个源的HTTP请求序列的方式中存在潜在的篡改漏洞。攻击者可以通过将多个请求合并到对Web服务器的单个请求的正文中来利用此漏洞,从而允许他们修改响应或从其他用户的HTTP会话中检索信息。尽管没有立即解决此漏洞的补丁,但是Microsoft的指南确实提供了一个快速筛选器注册表添加项,可以保护您的Web服务器。”

记录未来,Insikt集团经理David Carver:

 “本星期二补丁程序的重要属性之一是所披露的RCE漏洞数量,这些漏洞影响了广泛使用的Microsoft产品。例如,CVE-2020-1374允许基于Windows远程桌面客户端中的漏洞的远程代码执行,可以通过说服用户访问恶意服务器来加以利用,并影响Windows 7至10和Windows Server 2008至2019年。

 影响相同产品范围的其他RCE漏洞包括CVE-2020-1410,该漏洞影响Windows通讯簿,并且可以通过恶意vcard文件加以利用。CVE-2020-1421,该文件会影响.LNK文件,并可能通过恶意可移动驱动器或远程共享进行利用;CVE-2020-1435和CVE-2020-1436,它们分别影响Windows图形设备界面和Windows字体库,并且都可以通过恶意链接或文档加以利用。”

Checkmarx安全研究总监Erez Yalon:

 “ Microsoft最新的补丁程序星期二更新显示了针对远程执行代码(RCE)漏洞的多个修复程序,这些漏洞涵盖了包括DNS服务器(CVE-2020-1350),Microsoft Office(CVE-2020-1458),Outlook(CVE-2020-1349)的入口点,以及.NET Framework和Visual Studio(CVE-2020-1147)等开发工具。

 RCE或能够在易受攻击的系统上运行代码的危险听起来像是危险的。通过RCE,攻击者可以安装程序以及查看,更改或删除数据。这种攻击方法可以成为组织的切入点,为网络犯罪分子提供进行更复杂攻击的关键。如果在关键用户或系统上加以利用,这也可能意味着整个个人或整个组织的“游戏结束”。

 具体而言,开发人员工具中的RCE漏洞(如本月在.NET Framework和Visual Studio程序中所见证的)可以使攻击者接管有权访问源代码以及潜在生产环境的用户的计算机。组织,这意味着知识产权现在也处于危险之中。

 总体而言,本月的补丁程序表明RCE漏洞在今天仍然非常普遍,个人应立即更新所有受影响的Microsoft产品和服务,以保持强大的安全状态。”

原文来自:

本文地址://q13zd.cn/microsoft-123-bug.html编辑:薛鹏旭,审核员:清蒸github

Linux大全:

Linux系统大全:

红帽认证RHCE考试心得: