0x01 事件简述
2020年10月14日,360CERT监测发现 微软官方 发布了 10月份 的风险通告,事件等级: 严重 ,事件评分: 10 。
此次安全更新发布了 87 个漏洞的补丁,主要涵盖了 Windows操作系统、IE/Edge浏览器、Office 组件及Web Apps、Exchange服务器、.Net 框架、Azure DevOps、Windows 编码解码器 。其中包括 11 个严重漏洞, 75 个高危漏洞。
本次安全更新存在1个漏洞等级为严重且易利用的WindowsTCP/IP漏洞,以及存在6个信息公开的漏洞
对此,360CERT建议广大用户及时将 Windows各项组件 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该事件的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 严重 |
| 影响面 | 广泛 |
| 360CERT评分 | 10 |
0x03 漏洞详情
CVE-2020-16898: Windows TCP/IP 远程代码执行漏洞
Windows TCP/IP 堆栈不当处理 ICMPv6 Router Advertisement 数据包时,存在一处远程执行代码漏洞。
远程攻击者通过构造特制的数据包并发送到受影响的主机,成功利用此漏洞的攻击者可在目标主机上执行任意代码,并控制该主机。
CVE-2020-16947: Microsoft Outlook 远程代码执行漏洞
Microsoft Outlook 软件无法正确处理内存中的对象时,存在一处远程代码执行漏洞。
远程攻击者通过构造特制的邮件内容发送到使用Outlook 的用户,成功利用此漏洞的攻击者可在目标主机上执行任意代码,并控制该主机。
CVE-2020-16891: Windows Hyper-V 远程执行代码漏洞
Windows Hyper-V 无法正确验证虚拟操作系统上经身份验证的用户的输入时,存在一处远程执行代码漏洞。
远程攻击者通过构造特制的二进制程序,并诱使用户在 Hyper-V 虚拟系统中打开,成功利用此漏洞的攻击者可在绕过Hyper-V在Windows主系统上执行任意代码,并控制该主机。
CVE-2020-16909: Windows 错误报告组件特权提升漏洞
Windows 错误报告 (WER)组件在处理和执行文件时,存在一处特权提升漏洞。
远程攻击者通过构造特制的二进制程序,并诱使用户打开,成功利用此漏洞的攻击者可获得更高的用户权限,并控制该主机。
微软标记该漏洞信息已经公开,ZDI标识该漏洞已存在在野利用
0x04 漏洞影响
已利用>易利用>可利用>难利用
| 编号 | 描述 | 新版可利用性 | 历史版本可利用性 | 公开状态 | 在野利用 | 导致结果 |
|---|---|---|---|---|---|---|
| CVE-2020-17003 | [严重]Base3D 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16898 | [严重]Windows TCP/IP 远程代码执行漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16968 | [严重]Windows 摄像头编解码器远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16951 | [严重]Microsoft SharePoint 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16952 | [严重]Microsoft SharePoint 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16915 | [严重]Windows Media Foundation组件损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-16891 | [严重]Windows Hyper-V 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16967 | [严重]Windows 摄像头编解码器远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16911 | [严重]GDI 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16947 | [严重]Microsoft Outlook 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16923 | [严重]Microsoft 图形组件远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16938 | [高危]Windows 内核信息泄漏漏洞 | 可利用 | 可利用 | 已公开 | 不存在 | 信息泄漏 |
| CVE-2020-16901 | [高危]Windows 内核信息泄漏漏洞 | 可利用 | 可利用 | 已公开 | 不存在 | 信息泄漏 |
| CVE-2020-16909 | [高危]Windows 错误报告组件特权提升漏洞 | 可利用 | 可利用 | 已公开 | 不存在 | 权限提升 |
| CVE-2020-16937 | [高危].NET Framework 信息泄漏漏洞 | 可利用 | 可利用 | 已公开 | 不存在 | 信息泄漏 |
| CVE-2020-16908 | [高危]Windows 安装程序特权提升漏洞 | 可利用 | 可利用 | 已公开 | 不存在 | 权限提升 |
| CVE-2020-16885 | [高危]Windows 存储 VSP 驱动程序特权提升漏洞 | 可利用 | 可利用 | 已公开 | 不存在 | 权限提升 |
| CVE-2020-16946 | [高危]Microsoft Office SharePoint | 可利用 | 可利用 | 未公开 | 不存在 | 跨站脚本攻击 |
| CVE-2020-16894 | [高危]Windows NAT 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16886 | [高危]PowerShellGet 模块 WDAC 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-16934 | [高危]Microsoft Office 即点即用特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16955 | [高危]Microsoft Office 即点即用特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16920 | [高危]Windows 应用程序兼容性客户端库特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16976 | [高危]Windows 备份服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16944 | [高危]Microsoft SharePoint Reflective | 可利用 | 可利用 | 未公开 | 不存在 | 跨站脚本攻击 |
| CVE-2020-16928 | [高危]Microsoft Office 即点即用特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16900 | [高危]Windows 事件系统特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16930 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16877 | [高危]Windows 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16913 | [高危]Win32k 特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16914 | [高危]Windows GDI+ 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16921 | [高危]Windows 文本服务框架信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1167 | [高危]Microsoft 图形组件远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16941 | [高危]Microsoft SharePoint 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16995 | [高危]适用于 Linux 的网络观察程序代理虚拟机扩展特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16933 | [高危]Microsoft Word 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-1047 | [高危]Windows Hyper-V 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16907 | [高危]Win32k 特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16922 | [高危]Windows 欺骗漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-16977 | [高危]Visual Studio Code Python 扩展程序远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16974 | [高危]Windows 备份服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16942 | [高危]Microsoft SharePoint 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16950 | [高危]Microsoft SharePoint 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16935 | [高危]Windows COM Server 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16939 | [高危]组策略特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1243 | [高危]Windows Hyper-V 拒绝服务漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-1080 | [高危]Windows Hyper-V 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16940 | [高危]Windows – User Profile Service 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16924 | [高危]Jet 数据库引擎远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16897 | [高危]NetBT 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16957 | [高危] Windows Office 访问连接引擎远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16904 | [高危]Azure 功能特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16969 | [高危]Microsoft Exchange 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16902 | [高危]Windows 程序安装组件 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16912 | [高危]Windows 备份服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16954 | [高危]Microsoft Office 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16905 | [高危]Windows 错误报告组件特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16927 | [高危]Windows 远程桌面协议 (RDP) 拒绝服务漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-16975 | [高危]Windows 备份服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16899 | [高危]Windows TCP/IP 拒绝服务漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-16910 | [高危]Windows 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-0764 | [高危]Windows 存储服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16918 | [高危]Base3D 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16892 | [高危]Windows 映像特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16887 | [高危]Windows 网络连接服务权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16945 | [高危]Microsoft Office SharePoint | 可利用 | 可利用 | 未公开 | 不存在 | 跨站脚本攻击 |
| CVE-2020-16953 | [高危]Microsoft SharePoint 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16890 | [高危]Windows 内核特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16896 | [高危]Windows 远程桌面协议 (RDP) 信息泄漏漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16948 | [高危]Microsoft SharePoint 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16916 | [高危]Windows COM Server 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16931 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16876 | [高危]Windows 应用程序兼容性客户端库特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16972 | [高危]Windows 备份服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16929 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16936 | [高危]Windows 备份服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16932 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16889 | [高危]Windows KernelStream 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16943 | [高危]Dynamics 365 Commerce 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16863 | [高危]Windows 远程桌面服务拒绝服务漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-16973 | [高危]Windows 备份服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16980 | [高危]Windows iSCSI 目标服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
0x05 修复建议
通用修补建议
360CERT建议通过安装 360安全卫士 进行一键更新。
应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。
Windows server / Windows 检测并开启 Windows自动更新 流程如下
- 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
- 点击控制面板页面中的“系统和安全”,进入设置。
- 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
- 然后进入设置窗口,展开下拉菜单项,选择其中的
自动安装更新(推荐)。
临时修补建议
通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
0x06 产品侧解决方案
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。 
0x07 时间线
2020-10-13 微软发布安全更新
2020-10-14 360CERT发布通告
0x08 参考链接
0x09 特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
2020-10 补丁日: 微软多个产品高危漏洞安全风险通告 若有订阅意向与定制需求请发送邮件至 g-cert-report@360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。