0x01 漏洞背景
2020年04月15日, 360CERT监测发现 微软官方 发布了 3月份 的风险通告,风险等级:高危。
此次安全更新发布了 113 个漏洞的补丁,主要涵盖了 Windows操作系统、IE/Edge浏览器、ChakraCore、Dynamics、Android 应用程序,Mac 应用程序,办公及办公服务和网络应用、微软恶意软件防护引擎。
其中包括 17 个严重漏洞,96 个高危漏洞。
对此,360CERT建议广大用户及时安装最新补丁,做好资产自查及修补工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该事件进行评定
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 高危 |
| 影响面 | 广泛 |
0x03 漏洞详情
CVE-2020-1020|CVE-2020-0938: Adobe字体管理器库远程代码执行漏洞
Adobe 字体管理器 存在 远程代码执行漏洞 ,在 Adobe 字体管理器 处理特制的 Type1 字体的时被触发。
当用户打开或使用预览功能查看特制文档时即可触发。
在Win10 以外的系统,攻击者可以造成有效的远程代码执行,在Win10 操作系统中仅能造成 AppContainer 沙箱中的有限代码执行。
CVE-2020-1020细节已公开,两例漏洞均存在在野利用
CVE-2020-0993: Windows DNS 服务拒绝服务漏洞
Windows DNS 服务 存在 拒绝服务漏洞,在接收到特制的 DNS 查询请求时触发。
DNS Server 和 Client 均受到此漏洞影响。
CVE-2020-1027: Windows 内核权限提升漏洞
Windows 内核 存在 权限提升漏洞 ,在处理特定的对象内存时触发。
该漏洞需要通过本地身份认证后运行特制程序才能触发。
该漏洞存在在野利用
CVE-2020-0935: Windows OneDrive 权限提升漏洞
OneDrive 桌面应用 存在 权限提升漏洞 ,在处理符号链接(软链接)的时候触发。
该漏洞需要通过本地身份认证后运行特制程序才能触发。
该漏洞细节已公开
0x04 漏洞影响
仅针对高危漏洞以及详细信息已经公开的漏洞进行说明,本次更新的全部漏洞情况请自行参考参考链接中的内容进行核对
| 编号 | 描述 | 公开状态 | 在野利用 | 导致结果 |
|---|---|---|---|---|
| CVE-2020-1020 | Adobe Font Manager远程代码执行 | 公开 | 存在 | 远程代码执行 |
| CVE-2020-0938 | Adobe Font Manager远程代码执行 | 未公开 | 存在 | 远程代码执行 |
| CVE-2020-1027 | Windows 内核权限提升 | 未公开 | 存在 | 权限提升 |
| CVE-2020-0935 | OneDrive权限提升 | 公开 | 不存在 | 权限提升 |
| CVE-2020-0969 | Chakra脚本引擎内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1022 | Dynamics Business Central远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0948 | Media Foundation 内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0949 | Media Foundation 内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0950 | Media Foundation 内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0907 | 图形化组件远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0687 | 图形化界面远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0927 | Office SharePoint 跨站脚本攻击 | 未公开 | 不存在 | 跨站脚本攻击 |
| CVE-2020-0929 | Office SharePoint 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0931 | Office SharePoint 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0932 | Office SharePoint 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0974 | Office SharePoint 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0965 | Codecs库远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0970 | 脚本引擎内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0968 | 脚本引擎内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0967 | VBScript 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0910 | Hyper-V 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
0x05 修复建议
通用修补建议
360CERT建议通过安装 360安全卫士 进行一键更新。
应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。
Windows server / Windows 检测并开启Windows自动更新流程如下
- 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
- 点击控制面板页面中的“系统和安全”,进入设置。
- 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
- 然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)。
手动升级方案:
通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
0x06 产品侧解决方案
360安全卫士
针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。
0x07 时间线
2020-04-14 微软发布安全更新
2020-04-15 360CERT发布预警