微软补丁日:脚本引擎/Hyper-V/Exchange 远程代码执行漏洞预警

 

0x00 漏洞背景

2019年11月12日,微软例行发布了11月份的安全更新。此次安全更新主要涵盖了Windows操作系统、IE/Edge浏览器、脚本引擎/ChakraCore、Office套件、Exchange 服务、Visual Studio。总计包含 74 个CVE,13个高危漏洞,61个中危漏洞。其中 CVE-2019-1429 已经被微软标记为可以被利用,但未发现有在野行为。

  • 脚本引擎远程代码执行漏洞
  • Hyper-v 远程代码执行漏洞
  • Exchange 服务远程代码执行漏洞
  • UAC 权限提升漏洞
  • Win32k Graphics 远程代码执行漏洞
  • TPM芯片组漏洞建议

360CERT判断此次安全更新针对的漏洞影响面广,有一例漏洞可被用于攻击利用。

建议广大用户及时更新系统并安装 windows 补丁,做好预防工作,以免遭受攻击。

 

0x01 漏洞详情

针对部分漏洞进行详情介绍

脚本引擎远程代码执行漏洞

CVE-2019-1429根据Google威胁分析小组的报告,IE脚本引擎处理内存中对象的方式存在漏洞。如果受影响的浏览器访问恶意网页或打开特制的Office文档,攻击者即可实现远程代码执行。同时该报告表示即使您不使用IE,也需要此补丁。Microsoft没有提供有关该漏洞攻击性质的判定,该漏洞要实现利用可能受到其他安全措施的限制。

Exchange 服务器远程代码执行漏洞

CVE-2019-1373该漏洞是 Exchange 服务器使用 PowerShell 反序列化元数据时存在的问题。要利用此漏洞,攻击者需要说服用户通过PowerShell运行cmdlet。该情况限制苛刻,但用户轻易执行该操作,则可以将服务器完全控制权移交给攻击者。

UAC 权限提升漏洞

CVE-2019-1388UAC提示中的一个漏洞。由 ZDI 报告的该漏洞,在实际利用时需要复杂的前置步骤。攻击成功的情况下允许攻击者权限提升到NT Authority\SYSTEM。

字体文件远程命令执行漏洞

CVE-2019-1441该漏洞存在于 Win32k Graphics 组件,用户查看特制字体可能会导致远程代码执行。

Hyper-v 漏洞

  • CVE-2019-0721 远程代码执行漏洞
  • CVE-2019-1389 远程代码执行漏洞
  • CVE-2019-1397 远程代码执行漏洞
  • CVE-2019-1398 远程代码执行漏洞
  • CVE-2019-0712 拒绝服务漏洞
  • CVE-2019-1309 拒绝服务漏洞
  • CVE-2019-1310 拒绝服务漏洞
  • CVE-2019-1399 拒绝服务漏洞

TPM芯片组漏洞建议

ADV190024微软针对使用椭圆曲线数字签名算法(ECDSA)的TPM芯片组发布的安全公告。虽然当前的Windows系统没有使用此算法,但是可能其他软件或服务会使用。该错误存在于TPM固件中,而不存在于操作系统本身。没有对应Microsoft补丁。所以,如果您的系统受到影响,则需要联系对应的芯片制造商获取TPM固件更新。

多个信息泄漏漏洞

攻击成功的情况下允许攻击者在获得一些用户PC/服务器上的敏感信息或者文件内容。

  • CVE-2019-1446 Microsoft Excel
  • CVE-2019-1443 Microsoft SharePoint
  • CVE-2019-1440 Win32k
  • CVE-2019-1439 Windows GDI
  • CVE-2019-1436 Win32k
  • CVE-2019-1432 DirectWrite
  • CVE-2019-1418 Windows Modules Installer Service
  • CVE-2019-1412 OpenType Font Driver
  • CVE-2019-1411 DirectWrite
  • CVE-2019-1409 Windows Remote Procedure Call
  • CVE-2019-1402 Microsoft Office
  • CVE-2019-1381 Microsoft Windows
  • CVE-2019-1374 Windows Error Reporting
  • CVE-2019-1370 Open Enclave SDK
  • CVE-2019-1324 Windows TCP/IP
  • CVE-2019-11135 Windows Kernel
  • CVE-2018-12207 Windows Kernel

 

0x02 修复建议

360CERT建议通过安装360安全卫士进行一键更新。

应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启,也可以通过下载参考链接中的软件包,手动进行升级。

用户可以通过下载参考链接中的软件包,手动进行升级。

windows server / windows 检测并开启Windows自动更新流程如下

  • 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
  • 点击控制面板页面中的“系统和安全”,进入设置。
  • 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
  • 进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)。

 

0x03 时间线

2019-11-12 微软官方发布安全公告

2019-11-13 360CERT发布预警

 

0x04 参考链接

  1. November 2019 Security Updates
  2. Security Update Guide
  3. Zero Day Initiative — The November 2019 Security Update Review
  4. ADV190024 | Microsoft Guidance for Vulnerability in Trusted Platform Module (TPM)
(完)