【安全风险通告】微软8月补丁日多个产品高危漏洞安全风险通告

  • A+
所属分类:安全漏洞
【安全风险通告】微软8月补丁日多个产品高危漏洞安全风险通告

本月,微软共发布了121个漏洞的补丁程序,其中,Microsoft Outlook、Microsoft Windows Codecs Library、Media Foundation、Microsoft Edge PDF、.NET Framework、NetLogon以及MSHTML等脚本引擎中的16个漏洞被微软官方标记为紧急漏洞。经研判,以下24个漏洞(包括16个紧急漏洞和8个重要漏洞)影响较大:CVE-2020-1380、CVE-2020-1570、CVE-2020-1555、CVE-2020-1567、CVE-2020-1483、CVE-2020-1585、CVE-2020-1560、CVE-2020-1574、CVE-2020-1379、CVE-2020-1477、CVE-2020-1492、CVE-2020-1525、CVE-2020-1554、CVE-2020-1568、CVE-2020-1046、CVE-2020-1472、CVE-2020-1464、CVE-2020-1480、CVE-2020-1529、CVE-2020-1566、CVE-2020-1584、CVE-2020-1587、CVE-2020-1578、CVE-2020-1337。

【安全风险通告】微软8月补丁日多个产品高危漏洞安全风险通告


奇安信 CERT

安全通告


本月,微软共发布了121个漏洞的补丁程序,其中,Microsoft Outlook、Microsoft Windows Codecs Library、Media Foundation、Microsoft Edge PDF、.NET Framework、NetLogon以及MSHTML等脚本引擎中的16个漏洞被微软官方标记为紧急漏洞。经研判,以下24个漏洞(包括16个紧急漏洞和8个重要漏洞)影响较大,如下表所示。

CVE编号

风险等级

漏洞名称

利用可能

CVE-2020-1380

紧急

脚本引擎内存破坏漏洞

N/Y/D/NA

CVE-2020-1570

紧急

脚本引擎内存破坏漏洞

N/N/M/M

CVE-2020-1555

紧急

脚本引擎内存破坏漏洞

N/N/L/NA

CVE-2020-1567

紧急

MSHTML脚本引擎远程代码执行漏洞

N/N/M/M

CVE-2020-1483

紧急

Microsoft Outlook内存破坏漏洞

N/N/L/L

CVE-2020-1585

紧急

Microsoft Windows Codecs Library远程代码执行漏洞

N/N/NA/L

CVE-2020-1560

紧急

Microsoft Windows Codecs Library远程代码执行漏洞

N/N/L/NA

CVE-2020-1574

紧急

Microsoft Windows Codecs Library远程代码执行漏洞

N/N/L/L

CVE-2020-1379

紧急

Media Foundation内存破坏漏洞

N/N/L/L

CVE-2020-1477

紧急

Media Foundation内存破坏漏洞

N/N/L/L

CVE-2020-1492

紧急

Media Foundation内存破坏漏洞

N/N/L/L

CVE-2020-1525

紧急

Media Foundation内存破坏漏洞

N/N/L/L

CVE-2020-1554

紧急

Media Foundation内存破坏漏洞

N/N/L/L

CVE-2020-1568

紧急

Microsoft Edge PDF远程代码执行漏洞

N/N/L/NA

CVE-2020-1046

紧急

.NET Framework远程代码执行漏洞

N/N/L/L

CVE-2020-1472

紧急

NetLogon权限提升漏洞

N/N/L/L

CVE-2020-1464

重要

Windows欺骗漏洞

Y/Y/D/D

CVE-2020-1480

重要

Windows GDI权限提升漏洞

N/N/M/M

CVE-2020-1529

重要

Windows GDI权限提升漏洞

N/N/M/M

CVE-2020-1566

重要

Windows Kernel权限提升漏洞

N/N/M/M

CVE-2020-1584

重要

Windows dnsrslvr.dll权限提升漏洞

N/N/M/M

CVE-2020-1587

重要

Windows Ancillary Function Driver for WinSock权限提升漏洞

N/N/M/M

CVE-2020-1578

重要

Windows Kernel信息泄露漏洞

N/N/M/M

CVE-2020-1337

重要

Windows 打印机服务权限提升漏洞

N/N/L/L


注:“利用可能”字段包含四个维度(是否公开[Y/N]/是否在野利用[Y/N]/最新版本可利用性[D/M/L/U/NA]/历史版本可利用性[D/M/L/U/NA])

简写

定义

Y

Yes

N

No

D

0-Exploitation  detected

M

1-Exploitation  more likely *

L

2-Exploitation  less likely **

U

3-Exploitation unlikely ***

NA

4-N/A


其中,CVE-2020-1464Windows欺骗漏洞已被公开,并且检测到在野利用,CVE-2020-1380 IE脚本引擎内存破坏漏洞也出现在野利用。另外,以下8个漏洞被微软标记为“ExploitationMore Likely”,这代表这些漏洞更容易被利用:

 

  • CVE-2020-1570

  • CVE-2020-1567

  • CVE-2020-1480

  • CVE-2020-1529

  • CVE-2020-1566

  • CVE-2020-1584

  • CVE-2020-1587

  • CVE-2020-1578

【安全风险通告】微软8月补丁日多个产品高危漏洞安全风险通告



漏洞描述


本月,微软共发布121个漏洞的补丁程序,值得注意的是,CVE-2020-1464 Windows欺骗漏洞和CVE-2020-1380 IE脚本引擎内存破坏漏洞已被检测到在野利用。另外,以下8个漏洞被微软标记为 “Exploitation More Likely”,这代表这些漏洞更容易被利用:

  • CVE-2020-1570

  • CVE-2020-1567

  • CVE-2020-1480

  • CVE-2020-1529

  • CVE-2020-1566

  • CVE-2020-1584

  • CVE-2020-1587

  • CVE-2020-1578


奇安信CERT对此进行研判,影响较大的24个漏洞(包括16个紧急漏洞和8个重要漏洞)的详细信息如下:


1CVE-2020-1380 脚本引擎内存破坏漏洞*

漏洞名称

脚本引擎内存破坏漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2020-1380

公开状态

未公开

在野利用

已存在

漏洞描述

IE脚本引擎在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过诱导用户打开嵌入标记为“初始化安全”的ActiveX控件的应用程序或Microsoft Office文档等方式来利用此漏洞,攻击者还可以通过攻击脆弱网站、向内容或广告服务提供商添加特制内容来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1380

 

2CVE-2020-1570 脚本引擎内存破坏漏洞

漏洞名称

脚本引擎内存破坏漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2020-1570

公开状态

未公开

在野利用

不存在

漏洞描述

IE脚本引擎在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过诱导用户打开嵌入标记为“初始化安全”的ActiveX控件的应用程序或Microsoft Office文档等方式来利用此漏洞,攻击者还可以通过攻击脆弱网站、向内容或广告服务提供商添加特制内容来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1570

 

3CVE-2020-1555 脚本引擎内存破坏漏洞

漏洞名称

脚本引擎内存破坏漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2020-1555

公开状态

未公开

在野利用

不存在

漏洞描述

Microsoft  Edge 脚本引擎在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过攻击脆弱网站、向内容或广告服务提供商添加特制内容并诱导用户访问来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1555

 

4CVE-2020-1567 MSHTML脚本引擎远程代码执行漏洞

漏洞名称

MSHTML脚本引擎远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2020-1567

公开状态

未公开

在野利用

不存在

漏洞描述

MSHTML脚本引擎在验证输入时,存在一个远程代码执行漏洞。攻击者可通过诱导用户编辑特制文件来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上以该用户权限执行任意代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1567

 

5CVE-2020-1483 Microsoft Outlook内存破坏漏洞

漏洞名称

Microsoft  Outlook内存破坏漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2020-1483

公开状态

未公开

在野利用

不存在

漏洞描述

Microsoft  Outlook在处理内存中的对象时,存在一个远程代码执行漏洞。攻击者可通过向用户发送带有特制文件的邮件并诱导用户打开或在预览窗口查看该文件来利用此漏洞。攻击者还可通过诱导用户访问带有特制文件的恶意网站或攻击脆弱网站向其添加特制内容并诱导用户访问来利用此漏洞。成功利用此漏洞的远程攻击者可在目标系统上使用当前用户安全上下文执行任意代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1483

 

6Microsoft Windows Codecs Library远程代码执行漏洞

漏洞名称

Microsoft  Windows Codecs Library远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

详见漏洞描述

公开状态

未公开

在野利用

不存在

漏洞描述

Microsoft  Windows Codecs Library在处理内存中的对象时,存在两个远程代码执行漏洞(CVE-2020-1585CVE-2020-1560)。攻击者可通过诱导用户打开特制图像文件来利用此漏洞,成功利用此漏洞的远程攻击者可以获取信息从而进一步利用受影响系统。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1585

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1560

CVE-2020-1585漏洞只影响从Microsoft Store安装了可选的HEVC"HEVC from Device Manufacturer"媒体编解码器的系统,默认配置不受此漏洞影响。


7、CVE-2020-1574 Microsoft Windows Codecs Library远程代码执行漏洞

漏洞名称

Microsoft  Windows Codecs Library远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2020-1574

公开状态

未公开

在野利用

不存在

漏洞描述

Microsoft  Windows Codecs Library在处理内存中的对象时,存在远程代码执行漏洞。攻击者可通过诱导用户打开特制图像文件来利用此漏洞,成功利用此漏洞的远程攻击者可以执行任意代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1574

CVE-2020-1574漏洞只影响从Microsoft Store安装了可选的HEVC"HEVC from Device Manufacturer"媒体编解码器的系统,默认配置不受此漏洞影响。


8Media Foundation内存破坏漏洞

漏洞名称

Media  Foundation内存破坏漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

详见漏洞描述

公开状态

未公开

在野利用

不存在

漏洞描述

Windows  Media Foundation在处理内存中的对象时,存在五个内存损坏漏洞(CVE-2020-1379CVE-2020-1477CVE-2020-1492CVE-2020-1525CVE-2020-1554)。攻击者可通过诱导用户打开特制文件或诱导用户访问恶意网站来利用此漏洞,成功利用此漏洞的远程攻击者可以获得目标系统的完全用户权限。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1379

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1477

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1492

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1525

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1554

 

9CVE-2020-1568 Microsoft Edge PDF远程代码执行漏洞

漏洞名称

Microsoft  Edge PDF远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2020-1568

公开状态

未公开

在野利用

不存在

漏洞描述

Microsoft  Edge PDF Reader 在处理内存中的对象时,存在远程代码执行漏洞。攻击者可通过诱导用户访问特制网站或通过攻击脆弱网站、向内容或广告服务提供商添加特制内容并诱导用户访问来利用此漏洞。成功利用此漏洞的攻击者可在目标系统上以该用户权限执行任意代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1568

 

10CVE-2020-1046 .NET Framework远程代码执行漏洞

漏洞名称

.NET  Framework远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞ID

CVE-2020-1046

公开状态

未公开

在野利用

不存在

漏洞描述

Microsoft  .NET Framework 在处理输入时,存在远程代码执行漏洞。攻击者可通过向Web应用程序上传特制文件来利用此漏洞。成功利用此漏洞的攻击者可接管目标系统。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1046

 

11CVE-2020-1472 NetLogon权限提升漏洞

漏洞名称

NetLogon权限提升漏洞

漏洞类型

权限提升

风险等级

紧急

漏洞ID

CVE-2020-1472

公开状态

未公开

在野利用

不存在

漏洞描述

NetLogon中存在一个权限提升漏洞。未经身份认证的攻击者可通过使用Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

微软正在分两个阶段修复这个漏洞,修复方案通过修改NetLogon处理方式和NetLogon安全通道来解决这个漏洞,详情请参阅以下链接。

 

12CVE-2020-1464 Windows欺骗漏洞*

漏洞名称

Windows欺骗漏洞

漏洞类型

欺骗

风险等级

重要

漏洞ID

CVE-2020-1464

公开状态

已公开

在野利用

已存在

漏洞描述

Windows在验证签名时,存在一个欺骗漏洞。成功利用此漏洞的攻击者可绕过安全特性,从而加载签名不正确的文件。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1464

 

13Windows GDI权限提升漏洞

漏洞名称

Windows  GDI权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

详见漏洞描述

公开状态

未公开

在野利用

不存在

漏洞描述

Windows  Graphics Device Interface (GDI)在处理内存中的数据时,存在两个权限提升漏洞(CVE-2020-1480CVE-2020-1529)。攻击者登陆目标系统后可通过在该系统上运行特制程序来利用此漏洞。成功利用此漏洞的攻击者可在目标系统内核模式下执行任意代码,获取完全的用户权限。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1480

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1529

 

14CVE-2020-1566 Windows Kernel权限提升漏洞

漏洞名称

Windows  Kernel权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2020-1566

公开状态

未公开

在野利用

不存在

漏洞描述

Windows  Kernel在处理内存中的数据时,存在一个权限提升漏洞。攻击者登陆目标系统后可通过在该系统上运行特制程序来利用此漏洞。成功利用此漏洞的攻击者可在目标系统内核模式下执行任意代码,获取完全的用户权限。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1566

 

15CVE-2020-1584 Windows dnsrslvr.dll权限提升漏洞

漏洞名称

Windows  dnsrslvr.dll权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2020-1584

公开状态

未公开

在野利用

不存在

漏洞描述

Windows  dnsrslvr.dll在处理内存中的数据时,存在一个权限提升漏洞。经过本地认证的攻击者可通过在目标系统上运行特制程序来利用此漏洞。成功利用此漏洞的攻击者可在目标系统上以提升的权限执行代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1584

 

16CVE-2020-1587 Windows Ancillary Function Driver for WinSock权限提升漏洞

漏洞名称

Windows  Ancillary Function Driver for WinSock权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2020-1587

公开状态

未公开

在野利用

不存在

漏洞描述

Windows  Ancillary Function Driver for WinSock在处理内存中的数据时,存在一个权限提升漏洞。攻击者可通过在目标系统上运行特制程序来利用此漏洞,攻击者首先需要获取目标系统的执行权限。成功利用此漏洞的攻击者可在目标系统上以提升的权限执行代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1587

 

17CVE-2020-1578 Windows Kernel信息泄露漏洞

漏洞名称

Windows  Kernel信息泄露漏洞

漏洞类型

信息泄露

风险等级

重要

漏洞ID

CVE-2020-1578

公开状态

未公开

在野利用

不存在

漏洞描述

Windows  Kernel存在一个信息泄露漏洞。攻击者登陆目标系统后可通过在该系统上运行特制程序来利用此漏洞。成功利用此漏洞的攻击者可获取目标系统内核对象的地址,从而进一步绕过目标系统上的ASLR保护。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1578

 

18CVE-2020-1337 Windows打印机服务权限提升漏洞

漏洞名称

Windows  打印机服务权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞ID

CVE-2020-1337

公开状态

未公开

在野利用

不存在

漏洞描述

Windows  打印机服务中存在一个权限提升漏洞。该漏洞主要原因在于允许打印机服务写入任意文件到系统,要想成功利用此漏洞需要重启打印机服务。成功利用此漏洞的攻击者可以使用权限提升后的上下文执行任意代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1337

该漏洞属于微软五月补丁日CVE-2020-1048修复不完善导致的补丁绕过。

【安全风险通告】微软8月补丁日多个产品高危漏洞安全风险通告


风险等级


奇安信 CERT风险评级为:高危

风险等级:蓝色(一般事件)

【安全风险通告】微软8月补丁日多个产品高危漏洞安全风险通告


处置建议


使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。

 

也可以采用以下官方解决方案及缓解方案来防护此漏洞:

Windows自动更新

Windows系统默认启用Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”

2、选择“更新和安全”,进入“Windows更新”(Windows8、Windows 8.1、WindowsServer 2012以及Windows Server2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”->“系统和安全”->“Windows更新”)

3、选择“检查更新”,等待系统将自动检查并下载可用更新

4、重启计算机,安装更新

 

系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

 

手动安装补丁

另外,对于不能自动更新的系统版本(如Windows7、Windows Server 2008、WindowsServer 2008 R2),可参考以下链接下载适用于该系统的8月补丁并安装:

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-AUG

【安全风险通告】微软8月补丁日多个产品高危漏洞安全风险通告


参考资料

[1] https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-AUG
【安全风险通告】微软8月补丁日多个产品高危漏洞安全风险通告


时间线

2020年8月12日,奇安信 CERT发布安全风险通告

奇安信 CERT

 

奇安信CERT致力于

第一时间为企业级客户提供

安全风险通告和有效的解决方案  

                   

【安全风险通告】微软8月补丁日多个产品高危漏洞安全风险通告



发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: