0x01 事件背景
2020年06月09日, 360CERT监测发现 微软官方 发布了 6月份 的风险通告,事件等级:高危。
此次安全更新发布了 129 个漏洞的补丁,主要涵盖了 Windows操作系统、Windows应用商店、IE/Edge浏览器、ChakraCore、Dynamics、Visual Studio、Android 应用程序,.Net 框架、Azure DevOps、HoloLens、Adobe Flash Player、Office及Office服务和Web应用、微软恶意软件防护引擎。
对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该事件的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 高危 |
| 影响面 | 广泛 |
0x03 事件详情
CVE-2020-1206: Windows SMBv3 信息泄漏漏洞
Windows SMB v3 存在一枚信息泄漏漏洞。
该漏洞需要攻击者能够访问受影响系统所在网络。攻击者可以通过发送特制的请求包触发该漏洞。成功利用此漏洞的攻击者可以获得部分内存数据。
关于 SMB v3 的相关内容可以参考 【更新】远程利用POC公布|CVE-2020-0796:微软发布SMBv3协议“蠕虫级”漏洞补丁通告 – 360CERT
该漏洞同时影响 SMB 服务端/客户端
CVE-2020-1284: Windows SMBv3 拒绝服务漏洞
Windows SMB v3 存在一枚拒绝服务漏洞。
该漏洞需要攻击者能够访问受影响系统所在网络。攻击者可以通过发送特制的请求包触发该漏洞。成功利用此漏洞的攻击者可以关停受影响的主机。
关于 SMB v3 的相关内容可以参考 【更新】远程利用POC公布|CVE-2020-0796:微软发布SMBv3协议“蠕虫级”漏洞补丁通告 – 360CERT
该漏洞同时影响 SMB 服务端/客户端
CVE-2020-1301: Windows SMB 远程代码执行漏洞
Windows SMB v1 存在一枚远程代码执行漏洞。
该漏洞需要攻击者能够访问受影响系统所在网络。攻击者可以通过发送特制的请求包触发该漏洞。成功利用此漏洞的攻击者可在受影响的系统上执行任意代码。
Windows 10已经默认禁用 SMB v1 协议
关于 SMB v1 的相关内容可以参考 2017年度安全报告––禁用SMBv1协议 – 360CERT
ADV200010| CVE-2020-9633: Adobe Flash Player 任意代码执行漏洞
Adobe Flash Player 在处理相关内容时存在一枚 UAF 漏洞。
该漏洞影响 Windows/Macos/linux/ChromeOS,成功利用漏洞的攻击者可当前用户的环境下执行任意代码。
CVE-2020-1299: LNK 远程代码执行漏洞
Windows LNK 功能存在一枚远程代码执行漏洞。
该漏洞需要攻击者与系统产生一定交互方可触发。攻击者可以利用特制的.LNK文件来触发此漏洞,成功利用此漏洞的攻击者可在受影响的系统上执行任意代码。
当用户在打开远程共享文件时。或者访问USB设备时。都有可能遭受此漏洞的攻击。
CVE-2020-1229: Microsoft Outlook 安全功能绕过漏洞。
Outlook 预览功能中存在一枚逻辑漏洞。
该漏洞需要攻击者诱使用户打开特制的邮件。攻击者通过植入恶意图片文件来触发此漏洞,与常规安全配置不同的是,利用该漏洞可以在无需用户同意的情况下自动加载远程图片。成功利用此漏洞的攻击者若与 Windows GDI+ 相关漏洞配合可在受影响的系统上执行任意代码。
CVE-2020-1300: Windows 远程代码执行漏洞
Windows 处理 cabinet(CAB) 文件时存在一枚远程代码执行漏洞。
该漏洞需要攻击者诱使用户打开特制的 CAB 文件。成功利用此漏洞的攻击者可在受影响的系统上执行任意代码。
CVE-2020-1281: Windows OLE 远程代码执行漏洞
Windows 在处理OLE数据结构时存在一枚远程代码执行漏洞。
该漏洞需要攻击者诱使用户打开特制的文件或应用程序。成功利用此漏洞的攻击者可在受影响的系统上执行任意代码。
CVE-2020-1286: Windows Shell 远程代码执行漏洞
Windows Shell 在处理无法验证的路径时存在一枚远程代码执行漏洞。
该漏洞需要攻击者诱使用户打开特制的文件或应用程序。成功利用此漏洞的攻击者可在受影响的系统上执行任意代码。
0x04 影响版本
仅针对高危漏洞以及详细信息已经公开的漏洞进行说明,本次更新的全部漏洞情况请自行参考参考链接中的内容进行核对
| 编号 | 描述 | 公开状态 | 在野利用 | 导致结果 |
|---|---|---|---|---|
| CVE-2020-1248 | GDI+ 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1299 | LNK 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1219 | IE/Edge 内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1181 | SharePoint Server 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1073 | 脚本引擎 内存破坏 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1213 | VBScript 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1216 | VBScript 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1260 | VBScript 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1281 | Windows OLE 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1300 | Windows 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1286 | Windows Shell 远程代码执行 | 未公开 | 不存在 | 远程代码执行 |
0x05 修复建议
通用修补建议
360CERT建议通过安装 360安全卫士 进行一键更新。
应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。
Windows server / Windows 检测并开启Windows自动更新流程如下
- 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
- 点击控制面板页面中的“系统和安全”,进入设置。
- 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
- 然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)。
手动升级方案:
通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
0x06 产品侧解决方案
360安全卫士
针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。
0x07 时间线
2020-06-09 微软发布安全更新
2020-06-10 360CERT发布预警
发表评论
您还未登录,请先登录。
登录