Microsoft 补丁星期二更新修复了 17 个严重漏洞

Andrew 2020-11-11
专栏 - 企业安全 发布于 2020-11-11 11:19:56 阅读 98 评论 0

远程执行代码漏洞在本月的警告和补丁安全公告中占主导地位。

微软在11月补丁星期二发布的安全补丁摘要解决了异常多的远程代码执行(RCE)错误。微软的17个关键补丁中有12个与RCE漏洞有关。微软总共修补了112个漏洞,其中93个被评为重要漏洞,两个漏洞被评为严重程度较低。

被跟踪为CVE-2020-17087,一个Windows内核本地特权提升漏洞被Microsoft标记为已被积极利用。上周,该漏洞由Google Project Zero泄露,该漏洞报告该漏洞与10月20日修补的Google Chrome漏洞(CVE-2020-15999)一起被利用。 微软将该漏洞(CVE-2020-17087)评为严重漏洞,很可能是因为对利用该漏洞感兴趣的攻击者需要物理访问受该漏洞影响的Windows Server的各种安装,即Windows 10/RT/8.1/7。根据谷歌的说法,这个漏洞与Windows内核加密驱动程序(cng.sys)处理输入/输出控制(IOCTL)的方式有关,而这种方式是常规系统调用无法表达的。

Most Severe

“本周二修补的最关键的漏洞之一是CVE-2020-17051,这是Windows的网络文件系统(NFS)中发现的远程代码执行(RCE)漏洞,” Automox信息安全和研究总监Chris Hass写道,在他星期二的补丁分析中。

他解释说,该漏洞特别令人担忧,因为Windows的NFS本质上是一个客户端/服务器系统,它使用户可以通过网络访问文件并将其视为位于本地文件目录中。”

您可以想象,利用此服务提供的功能,攻击者长期以来一直在利用它来访问关键系统。不久之后,我们将在接下来的几天看到对2049端口的扫描增加,而开发可能会随之而来。”他写道。

Automox研究人员还建议SysAdmins为Microsoft的脚本引擎和Internet Explorer中的两个严重的内存损坏漏洞确定补丁的优先级。两者(CVE-2020-17052,CVE-2020-17053)都可能导致远程执行代码。

Hass写道:“一种可能的攻击情形是在网上诱骗电子邮件中嵌入一个恶意链接,受害者单击该链接即可导致托管该漏洞的受感染登陆页面。”

从星期二补丁程序中删除的描述

对于许多星期二的老兵来说,从11月的公告开始,Microsoft便删除了CVE概述的描述部分,这一点不会引起人们的注意。微软安全响应中心周一宣布了这种新方法。它描述了对行业标准通用漏洞评分系统(CVSS)的更多依赖,以为Patch Tuesday安全公告提供更通用的漏洞信息。

微软写道:“这是一种精确的方法,它利用攻击向量,攻击的复杂性,对手是否需要某些特权等属性来描述漏洞。”

对于“零日行动计划”的达斯汀·查尔兹(Dustin Childs)而言,这种新方法很有意义。他说,在许多情况下,“准确的CVSS实际上就是您所需要的。毕竟,关于其他SharePoint跨站点脚本(XSS)错误或要求您登录并运行特制程序的本地特权提升,您无言以对。但是,CVSS本身并非完美无缺。”

Tenable的首席安全官Bob Huber并不慷慨。”

微软决定从星期二的补丁程序中删除CVE描述信息是一个错误的举动,简单明了。仅依靠CVSSv3等级,Microsoft消除了许多宝贵的漏洞数据,这些漏洞数据可以帮助组织了解特定漏洞给他们带来的业务风险,”他写道。

他认为,这种新格式对安全造成了打击,并给对手带来了福音。最终用户将完全不知道特定CVE如何影响他们。而且,这几乎不可能确定给定补丁的紧迫性。很难理解最终用户的收益。”

Huber补充说:“不过,要看到这种新格式对坏演员的好处并不难。他们将对补丁进行反向工程,并且由于Microsoft对漏洞细节不明确,因此优势发给了攻击者,而不是防御者。如果没有这些CVE的适当背景,维护者就很难优先考虑其修复工作。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!