0x01 漏洞背景
2020年05月13日, 360CERT监测发现 微软官方 发布了 5月份 的风险通告,风险等级:高危。
此次安全更新发布了 111 个漏洞的补丁,主要涵盖了 Windows操作系统、IE/Edge浏览器、ChakraCore、Dynamics、Visual Studio、Android 应用程序,.Net 框架、Office及Office服务和Web应用、微软恶意软件防护引擎。
其中包括 16 个严重漏洞,95 个高危漏洞。
对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该事件的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 高危 |
| 影响面 | 广泛 |
0x03 漏洞详情
CVE-2020-1071: Windows 远程访问会话权限提示漏洞
Windows处理“远程访问通用对话框”相关的错误时,存在一枚权限提升漏洞。
该漏洞需要攻击者物理接触到相关设备。成功利用此漏洞的攻击者可以以高权限运行任意代码。并取得该设备的完全控制权限。
CVE-2020-1135: Windows 图形化组件权限提示漏洞
Windows 图形化组件中存在一个 UAF 漏洞。
该漏洞需要攻击者取得基础的系统登录权限。成功利用此漏洞的攻击者从普通用户权限提升为 SYSTEM (最高权限)。
CVE-2020-1067: Windows 远程代码执行漏洞
Windows 操作系统处理内存对象的过程中存在一枚远程代码执行漏洞。
该漏洞需要攻击者取得一个域用户账户。成功利用此漏洞的攻击者可以在受影响的操作系统上以更高的权限执行任意代码。并取得该设备的完全控制权限。
CVE-2020-1118: Windows传输层安全拒绝服务漏洞
Windows 的 Diffie-Hellman 协议实现中存在一枚 空指针解引用漏洞。
该漏洞需要攻击者与受影响的系统进行TLS通信。攻击者可以通过在TLS握手期间发送恶意的客户端密钥交换消息来触发此漏洞。成功利用此漏洞可造成对应设备停机以及 lsass.exe 进程终止。从而导致拒绝服务。
该漏洞同时影响TLS客户端和TLS服务端。
CVE-2020-0901: Excel 远程代码执行漏洞
Excel 在处理内存对象的过程中存在一枚远程代码执行漏洞。
该漏洞需要攻击者诱导用户打开特制的 Excel 文档。成功利用此漏洞的攻击者可以获得与被攻击用户相同等级的系统控制权限。
0x04 影响版本
仅针对高危漏洞以及详细信息已经公开的漏洞进行说明,本次更新的全部漏洞情况请自行参考参考链接中的内容进行核对
| 编号 | 描述 | 公开状态 | 在野利用 | 导致结果 |
|---|---|---|---|---|
| CVE-2020-1037 | Chakra 脚本引擎内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1062 | Internet Explorer 内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1028 | Media Foundation 内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1126 | Media Foundation 内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1136 | Media Foundation 内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1117 | Microsoft Color Management 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1056 | Microsoft Edge 特权提升 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1153 | Microsoft Graphics Components 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1023 | Microsoft SharePoint 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1024 | Microsoft SharePoint 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1102 | Microsoft SharePoint 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1069 | Microsoft SharePoint Server 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1064 | MSHTML Engine 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1065 | Scripting Engine 内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1093 | VBScript 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1192 | Visual Studio Code Python 插件远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
0x05 修复建议
通用修补建议
360CERT建议通过安装 360安全卫士 进行一键更新。
应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。
Windows server / Windows 检测并开启Windows自动更新流程如下
- 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
- 点击控制面板页面中的“系统和安全”,进入设置。
- 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
- 然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)。
手动升级方案:
通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
0x06 产品侧解决方案
360安全卫士
针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。
0x07 时间线
2020-05-12 微软发布安全更新
2020-05-13 360CERT发布预警