0x01 事件背景
2020年08月12日, 360CERT监测发现 微软官方 发布了 8月份 的风险通告,事件等级:严重,事件评分:10 分。
此次安全更新发布了 120 个漏洞的补丁,主要涵盖了以下组件: Windows操作系统、IE/Edge浏览器、ChakraCore、脚本引擎、SQL Server、.Net 框架、Windows编解码器库 。其中包括 17 个严重漏洞,103个高危漏洞。
微软通告中标识 1 个高危漏洞和 1 个严重漏洞已存在利用。
对此,360CERT建议广大用户及时将 Windows各项组件 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该事件的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 严重 |
| 影响面 | 广泛 |
| 360CERT评分 | 10分 |
0x03 漏洞详情
CVE-2020-1464: Windows 签名验证绕过漏洞
Windows错误地验证文件签名时,存在一处签名验证绕过漏洞。
本地攻击者通过在受影响的计算机上执行特定操作,可以绕过 Windows 签名机制加载任意危险的程序/文件。
该漏洞信息已公开;该漏洞已存在利用
该漏洞会影响所有受支持的Windows版本,请尽快安装修复补丁
CVE-2020-1380: 脚本引擎内存损坏漏洞
Windows 脚本引擎在 Internet Explorer 中处理内存中对象的方式中存在一处远程执行代码漏洞。
远程攻击者通过创建特制页面并诱使用户使用IE打开,成功利用此漏洞的攻击者可在受影响的系统上以相同的用户权限执行任意代码。
该漏洞已存在利用
CVE-2020-1472: NetLogon 特权提升漏洞
使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的 Netlogon 安全通道时,存在一处特权提升漏洞。
未通过身份验证的远程攻击者可以使用 Netlogon 协议构造特制的数据包,发送至受影响的域控服务器,成功利用此漏洞的攻击者可以获取域管理员访问权限。
CVE-2020-1585: Windows 编码解码库远程代码执行漏洞
Microsoft Windows Codecs 库处理内存中的对象时,存在一处远程执行代码漏洞。
远程攻击者通过构造特制的文件并诱使用户打开,成功利用此漏洞的攻击者可以控制受影响的系统。
CVE-2020-1568: Microsoft Edge PDF 远程执行代码漏洞
Microsoft Edge PDF 阅读器在处理内存中的对象时,存在一处远程执行代码漏洞。
远程攻击者通过构造特制的PDF页面,并诱使用户使用Edge浏览器打开,成功利用此漏洞的攻击者可在受影响的系统上以相同的用户权限执行任意代码。
0x04 影响版本
已利用>易利用>可利用>难利用
| 编号 | 描述 | 新版可利用性 | 历史版本可利用性 | 公开状态 | 在野利用 | 导致结果 |
|---|---|---|---|---|---|---|
| CVE-2020-1464 | Windows 欺骗漏洞 | 已利用 | 已利用 | 已公开 | 已存在 | 欺骗攻击 |
| CVE-2020-1380 | 脚本引擎内存损坏漏洞 | 难利用 | 已利用 | 未公开 | 已存在 | 内存破坏 |
| CVE-2020-1472 | NetLogon 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1568 | Microsoft Edge PDF 远程执行代码漏洞 | 难利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1339 | Windows Media 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1525 | Windows Media损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-1379 | Windows Media损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-1492 | Windows Media损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-1477 | Windows Media损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-1585 | Microsoft Windows Codecs 库远程执行代码漏洞 | 可利用 | 难利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1570 | 脚本引擎内存损坏漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-1554 | Windows Media损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-1567 | MSHTML 引擎远程执行代码漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1555 | 脚本引擎内存损坏漏洞 | 难利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-1560 | Microsoft Windows Codecs 库远程执行代码漏洞 | 难利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1574 | Microsoft Windows Codecs 库远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1046 | .NET Framework 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1483 | Microsoft Outlook 内存损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-1516 | Windows 工作文件夹服务权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1571 | Windows 安装程序特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1541 | Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1518 | Windows 文件服务器资源管理服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1563 | Microsoft Office 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1520 | Windows 字体驱动程序主机远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1509 | 本地安全认证子系统服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1467 | Windows 硬链接权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1479 | DirectX 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1587 | WinSock 的 Windows 辅助功能驱动程序特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1597 | ASP.NET Core 拒绝服务漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-1521 | Windows 语音Runtime特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1544 | Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1484 | Windows 工作文件夹服务权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1580 | Microsoft Office SharePoint | 可利用 | 可利用 | 未公开 | 不存在 | 跨站脚本攻击 |
| CVE-2020-1579 | Windows 功能发现 SSDP 提供程序特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1531 | Windows 帐户控制特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1495 | Microsoft Excel 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1535 | Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1542 | Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1566 | Windows 内核特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1417 | Windows 内核特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1497 | Microsoft Excel 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1565 | Windows 权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1561 | Microsoft 图形组件远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1547 | Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1502 | Microsoft Word 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1466 | Windows 远程桌面协议(RD 网关)拒绝服务漏洞 | 可利用 | 难利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-1550 | Windows CDP 用户组件特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1522 | Windows 语音Runtime特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1551 | Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1573 | Microsoft Office SharePoint | 可利用 | 可利用 | 未公开 | 不存在 | 跨站脚本攻击 |
| CVE-2020-1584 | Windows dnsrslvr.dll 特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1557 | Jet 数据库引擎远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1539 | Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1546 | Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1569 | Microsoft Edge 内存损坏漏洞 | 难利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-1526 | Windows 网络连接 Broker 权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1517 | Windows 文件服务器资源管理服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1528 | Windows Radio Manager API 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1499 | Microsoft SharePoint 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-1488 | Windows AppX 部署扩展特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1556 | Windows WalletService 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1476 | ASP.NET 和 .NET 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1496 | Microsoft Excel 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1552 | Windows Work Folder 服务权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1505 | Microsoft SharePoint 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1548 | Windows WaasMedic 服务信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1581 | Microsoft Office 即点即用特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1524 | Windows Speech Shell 组件特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1494 | Microsoft Excel 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1578 | Windows 内核信息泄漏漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1549 | Windows CDP 用户组件特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1473 | Jet 数据库引擎远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1577 | DirectWrite 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1501 | Microsoft SharePoint 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-1337 | Windows 打印后台处理程序特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1537 | Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1455 | Microsoft SQL Server Management Studio 拒绝服务漏洞 | 难利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-1534 | Windows 备份服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1545 | Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1511 | 已连接的用户体验和遥测服务权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1583 | Microsoft Word 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1582 | Microsoft Access 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1503 | Microsoft Word 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1377 | Windows 注册表特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1564 | Jet 数据库引擎远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1530 | Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1536 | Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1540 | Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1480 | Windows GDI 特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1459 | Windows ARM 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1553 | Windows Runtime特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1533 | Windows WalletService 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1486 | Windows 内核特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1378 | Windows 注册表特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1478 | Windows Media损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-1475 | Windows 服务器资源管理服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1515 | Windows 启用电话服务器特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1493 | Microsoft Outlook 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1490 | Windows 存储服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1527 | Windows 自定义协议引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1504 | Microsoft Excel 远程执行代码漏洞 | 可利用 | 难利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1500 | Microsoft SharePoint 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-1558 | Jet 数据库引擎远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1498 | Microsoft Excel 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1529 | Windows GDI 特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1383 | Windows RRAS 服务信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1562 | Microsoft 图形组件远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0604 | Visual Studio Code 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1470 | Windows 工作文件夹服务权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1510 | Win32k 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1543 | Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
通用修补建议
360CERT建议通过安装 360安全卫士 进行一键更新。
应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。
Windows server / Windows 检测并开启Windows自动更新流程如下
- 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
- 点击控制面板页面中的“系统和安全”,进入设置。
- 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
- 然后进入设置窗口,展开下拉菜单项,选择其中的
自动安装更新(推荐)。
手动升级方案:
通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
0x05 产品侧解决方案
360安全卫士
针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
0x06 时间线
2020-08-11 微软发布安全更新
2020-08-12 360CERT发布通告
发表评论
您还未登录,请先登录。
登录