freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

2020年微软首个周二补丁日,超级漏洞引发关注
2020-01-15 17:19:19

在2020年的首个周二补丁日,微软如期发布了今年的首批系统更新补丁。

Microsoft.jpg

本月的系统更新涉及如下产品:

Ø  Microsoft Windows

Ø  Internet Explorer

Ø  Microsoft Office和Microsoft Office Services和Web Apps

Ø  ASP.NET Core

Ø  .NET Core

Ø  .NET Framework

Ø  OneDrive for Android

Ø  Microsoft Dynamics

 

此次更新,微软共修复了49个漏洞,其中8个严重(critical)漏洞,41个重要(important)漏洞。这些漏洞的影响包括欺骗、信息泄露、权限提升、绕过安全特性以及拒绝服务。

 

超级漏洞CVE-2020-0601引爆周二补丁日

在新年伊始的周二补丁日,最受关注的非CVE-2020-0601漏洞莫属。微软在安全公告中指出,该漏洞源于Windows CryptoAPI (Crypt32.dll)验证Elliptic Curve Cryptography (ECC)证书的方式存在问题。攻击者可借助假冒的代码签名证书利用该漏洞为恶意的可执行文件签名,使得该文件看起来像来自可信的,合法的源。由于该数字签名看起来像是来自可信的提供者,用户无法知悉该文件为恶意文件。成功利用该漏洞,攻击者可以执行中间人攻击,解密用户与受影响的软件的连接上的保密信息。CVE-2020-0601影响了Windows 10,Server 2016和2019版本。

 

该漏洞是由美国国家安全局(NSA)发现并报送给微软的。根据外媒The Hacker News报道,此番是NSA首次负责任地向微软报送Windows操作系统中的安全漏洞。NSA此前曾将永恒之蓝SMB漏洞掩盖了至少5年,后来永恒之蓝遭到某个神秘组织的泄露,才为公众知悉。永恒之蓝在2017年导致了WannaCry勒索病毒的爆发。

 

美国NSA也就CVE-2020-0601发布了一则安全公告。

NSA安全公告.png美国NSA安全公告

根据公告内容,攻击者可利用该利用从根基上破坏Windows验证图形加密信任的方式,并可远程执行代码。NSA的公告进一步指出,除了Windows 10、Windows Server 2016/2019版本,该漏洞还影响了依赖Windows提供信任功能的应用程序。可能受到影响的信任验证包括:

Ø  HTTPS连接

Ø  签名的文件和电子邮件

Ø  以user-mode进程发起的,签名的可执行代码

 

由于攻击面广泛,该漏洞造成Windows计算机处于巨大的风险之中。根据KrebsOnSecurity安全博客爆料,在周二补丁日之前,微软已经悄悄地将该漏洞的补丁发送给了美国军队的分支机构以及管理关键互联网基础设施的其他高价值客户/目标。

 

虽然NSA在公告中表示,用户可以使用Wireshark等抓包工具从网络协议数据中解析和提取X509证书,对证书进行深度分析,检查是否具有恶意的属性。但遗憾的是,Google安全研究人员Tavis Ormandy在推文中确认该漏洞不仅仅威胁代码签名,而且可导致所有的X509证书验证失效,攻击者可以截获并修改TLS加密通讯。

 

为了有效缓解该漏洞带来的风险,建议所有用户尽快更新微软发布的补丁。对于企业用户,如果无法自动更新补丁,则应优先为提供必要的或依赖性广的服务的系统打补丁,包括:

Ø  基于Windows的web设备,web服务器,或执行TLS验证的代理

Ø  托管关键基础设施的端点,例如域控制器,DNS服务器,升级服务器,VPN服务器和IPSec协商等。

风险较高的端点应优先修复,包括:

Ø  直接暴露在互联网上的端点;

Ø  有权限的用户通常使用的端点;

 

本月补丁日的严重漏洞

本月周二补丁日的严重漏洞如下表:

严重漏洞列表.png

CVE-2020-0603存在于ASP.NET Core软件中,源于该软件处理内存中的对象的方式存在错误。CVE-2020-0605和CVE-2020-0606存在于.NET软件中,源于该软件未能检查文件的源标记。如成功利用漏洞,远程攻击者可在当前用户的上下文中运行任意代码。如果当前用户具有管理员身份权限,则攻击者可控制受影响的系统。攻击者要利用这几个漏洞,都需要用户打开一个特制的文件。攻击者可借助邮件攻击,通过向用户发送特制的文件,诱使用户打开该文件来达到目的。

 

CVE-2020-0609和CVE-2020-0610存在于Windows Remote Desktop Gateway (RD Gateway)中。对这两个漏洞的利用都无需身份验证,且无需用户交互。要利用漏洞,攻击者需要通过RDP向目标系统RD Gateway发送特制的请求。如成功利用漏洞,远程攻击者可在目标系统上运行任意代码。CVE-2020-0609和CVE-2020-0610的CVSS 3.0评分都为9.8。这两个漏洞影响了Windows Server 2012,Windows Server 2012 R2,Windows Server 2016和Windows Server 2019。

 

CVE-2020-0611存在于Windows Remote Desktop Client中,源于Windows Remote Desktop Client处理连接请求的方式存在问题。远程攻击者可利用该漏洞在发起连接的客户端的计算机上执行任意代码。要利用该漏洞,攻击者需要控制一台服务器,并通过社工方式、DNS投毒或中间人攻击等方式诱使用户连接该服务器;或者先入侵一台合法的服务器,在该服务器上托管恶意代码,等待用户的连接。

 

CVE-2020-0646存在于Microsoft .NET Framework中,源于.NET Framework未能妥当地检验输入。如成功利用该漏洞,攻击者可以控制受影响的系统,进而安装程序、查看,修改或删除数据、或创建具有完全用户权限的新账户。要利用该漏洞,攻击者需要借助易受影响的.Net方法向应用程序传递特定的输入。

 

CVE-2020-0640源于Internet Explorer以错误的方式访问内存中的对象。如遭到成功利用,该漏洞可导致内存损坏,攻击者可在当前用户的上下文中执行任意代码。成功利用该漏洞,攻击者可获取与当前用户相同的权限。要利用该漏洞,攻击者可以通过托管特制的网站,并诱使用户访问该网站;或者通过向被入侵的网站,或者接受或托管用户提供的内容或广告的网站添加特制的内容,诱使用户访问网站。

 

微软在安全公告中表示,尚未发现本月修复的漏洞遭到恶意利用。

 

微软正式终止支持Windows 7

值得一提的是,微软此次正式宣告Windows 7系统停止更新,官方停止对任何问题的技术支持、软件更新和安全更新或修复。

微软正式终止支持Windows 7.png微软正式终止支持Windows 7

虽然仍可继续使用Windows 7,但如果没有持续软件和安全更新,这一系统的电脑将更容易受到病毒和恶意软件的攻击,面临的风险将大大提高。

 

参考来源:

[1] https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jan

[2] https://www.microsoft.com/zh-cn/windows/windows-7-end-of-life-support-information

[3] https://thehackernews.com/2020/01/warning-quickly-patch-new-critical.html

[4 ]https://www.aqniu.com/industry/61395.html

[5] https://krebsonsecurity.com/2020/01/cryptic-rumblings-ahead-of-first-2020-patch-tuesday/

[6] https://media.defense.gov/2020/Jan/14/2002234275/-1/-1/0/CSA-WINDOWS-10-CRYPT-LIB-20190114.PDF

# Microsoft
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者