2019年4月微软补丁日多个漏洞预警

 

0x00 事件背景

2019年04月10日,360CERT监测到微软于4月9日发布了4月份的安全更新。此次安全更新涵盖 Windows 本体以及多个 Windows 的核心组件(Windows,win32k,LUAFV,CSRSS,MSXML,VSScript)的代码执行/权限提升漏洞。

360CERT判断此次更新针对的漏洞影响范围广泛,建议广大用户及时通过 Windows 的安全更新服务及时进行系统升级。以免遭受到黑客攻击以及恶意软件的侵害。

 

0x01 漏洞详情

一下是较为突出的几个漏洞漏洞描述。完整信息请自行查看参考链接的第一条进行跟进。

CVE-2019-0803, CVE-2019-0859 – Win32k 权限提升漏洞

就像三月一样,有两个类似的漏洞被列在可以被主动攻击的分类下。卡巴斯基实验室再次报告了其中一个漏洞,另一个漏洞来自阿里云情报安全小组。这些漏洞允许攻击者提升权限,并在访问系统后接管该系统。关于这些漏洞是如何被使用还尚未公开,但是可能已有恶意软件附带了针对该漏洞的攻击方式。

CVE-2019-0856 – Windows 远程命令执行漏洞

Windows 安全更新的标题写着远程代码执行,但描述表明攻击者需要登录系统才能利用该漏洞。不管怎样,考虑到它影响所有受支持的 Windows 版本,应当及时应用此补丁。

CVE-2019-0853 – GDI+ 远程命令执行漏洞

针对此漏洞的修补程序修复了 Hossein Lotfi 发现的漏洞,同时一并修复了 Windows GDI+的一个问题。 解析EMF文件记录时会出现该漏洞。特制的EMF文件记录可以触发对未初始化指针的访问,这允许攻击者执行任意代码。 影响到多个微软组件和程序,尤其是操作系统和办公套件这些大规模利用 GDI+ 的组件。

CVE-2019-0793 – MS XML 远程命令执行漏洞

微软XML核心服务MSXML解析器处理用户输入时,存在远程代码执行漏洞。成功利用该漏洞的攻击者可以远程运行恶意代码来控制用户的系统。

CVE-2019-0794 – Windows VBScript 引擎远程命令执行

攻击者可以托管一个特制的网站,该网站旨在通过浏览器利用该漏洞,通过用户对该网站的访问即可实现对用户电脑的控制。攻击者还可以在IE渲染引擎的应用程序或微软办公文档中嵌入标记为“初始化安全”的ActiveX控件,来触发此漏洞。

CVE-2019-0688 – Windows TCP/IP 信息泄漏漏洞

针对此漏洞的修补程序修复了 Windows 不正确处理碎片化的IP数据包而导致的信息泄露的漏洞。SAS令牌和资源标识等数据可能会泄露给攻击者。IP分片攻击已经存在多年了,Ping of Death和Teardrop就是早期的例子。即使在现代的TCP/IP堆栈中,协议攻击仍然存在。

CVE-2019-0786 – Windows SMB 权限提升漏洞

当具有有效凭据的攻击者试图在一台计算机上通过 SMB 打开特制文件时,可能会触发微软服务器 SMB 中存在的权限提升漏洞。成功利用此漏洞的攻击者可以绕过操作系统中的某些安全检查机制,进而获得该计算机更高级的控制权限。

 

0x02 修复建议

鉴于本月修复的多个漏洞影响严重,部分技术细节公开,360CERT建议广大用户尽快进行修补。以免遭受到黑客攻击以及恶意软件的侵害。

360CERT建议:

  • 通过安装360安全卫士进行一键更新
  • 及时进行 Microsoft Windows 版本更新并且保持 Windows 自动更新开启

一键更新方案

 

0x03 时间线

2019-04-09 微软发布4月安全更新

2019-04-10 360CERT发布预警

 

0x04 参考链接

  1. April 2019 Security Updates
  2. Zero Day Initiative — The April 2019 Security Update Review
(完)