微软周二例行安全更新:修复四个远程桌面漏洞,但还有一个CTF协议漏洞没有对应补丁

by admin on 2020年3月8日

微软12号发布的例行安全更新修复了正在被利用的一个
IE 0day 漏洞和一个漏洞利用概念验证代码已公布的 Exchange Server 漏洞。

图片 1

Win7之家:微软安全公告:四月25个补丁 涉及Win7、Vista

图片 2

微软在例行的周二安全更新中修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作。编号为
CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226,漏洞影响
Win…

经过了一两个月的平静期,微软有准备开始大规模发放补丁了,本月,11个影响Windows、Office、Exchange的安全公告将发布,它们将共同修复微软软件的25个漏洞,其中包括两个已经出现攻击代码的漏洞。其中,5个安全公告被标记为“危急”,它们可以让攻击者直接控制计算机,其余7个分别评级为重要和一般。

对于 IE
漏洞,微软称攻击者首先需要引诱用户访问一个恶意网站,该漏洞允许攻击者测试
PC 磁盘上是否储存一个或更多文件。该漏洞是 Google Project Zero
安全团队成员发现的,编号
CVE-2019-0676,影响
IE v 10 和 11,正被活跃利用。

微软在例行的周二安全更新中修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作。编号为
CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226,漏洞影响
Windows 7、8 和 10,以及 Server 2008、2012、2016 和 2019。同时Gooogle
Project Zero安全团队的研究员Tavis
Ormandy报告了一个微软CTF协议的漏洞,影响XP以来的所有Windows版本。

本次更新影响Windows 2000, XP, Vista, Windows 7, Server 2003, Server
2008, Office XP, Office 2003, 2007 Microsoft Office System和Exchange
Server 2000, 2003, 2007和
2010等诸多软件的多个版本,同日,Adobe也将为Windows上的Reader和Acrobat发布更新。发布这些补丁之后,微软将修复两个一直令人不安的安全漏洞,因为利用这两个安全漏洞的代码已经公开提供了。其中一个是编号981169的安全补丁,涉及到VBScript中的一个安全漏洞。这个安全漏洞允许远程执行代码和完全控制用户的PC。这个安全漏洞是在3月1日曝光的,影响到运行IE浏览器的老版本的Windows。另一个是编号977544的安全补丁,涉及到SMB协议中的一个安全漏洞。这个安全漏洞允许实施拒绝服务攻击,是在去年11月曝光的。
微软安全公告官方网页:Microsoft Security Advisories

Exchange Server 漏洞编号
CVE-2019-0686,允许攻击者利用普通权限的账号获取服务器的管理权限。微软称它没观察到该漏洞正被利用。

图源:Unsplash

据官方发布日记,这次更新中微软修补了70多个漏洞,其中20个被评为严重漏洞。易受攻击的产品包括了
IE,Edge,Windows,Office,.NET Framework,Exchange Server 和 Visual
Studio等。

编号为CVE-2019-1181、CVE-2019-1182、CVE-2019-1222
和CVE-2019-1226的漏洞允许未经授权的攻击者通过发送特制信息执行任意代码。它们可以利用它们的特性将恶意软件从一台易受攻击的计算机传播到另一台,而无需任何用户操作,就像2017年自我复制的WannaCry和NotPetya爆发一样。漏洞影
Windows 7、8和10,以及Server 2008、2012、2016和2019。

(文/开源中国)    

未经身份验证的攻击者可以通过在已知保护时发送特制邮件来执行恶意代码正如在大型组织中经常进行的那样,关闭网络级别身份验证,类似于微软在5月份修补的所谓BlueKeep漏洞,但这些漏洞能够影响最新的Windows系统,而不仅仅像BlueKeep影响旧版本的系统。一个缓解措施是“启用NLA并为所有外部和内部系统启用它”,但启用NLA并不能完全防御攻击,打开NLA显着增加了需求,设法获取网络凭据的攻击者仍然可以利用这些漏洞来执行他们选择的代码,因为漏洞可以完全绕过RDS本身内置的身份验证机制。

而Google Project Zero安全团队的研究员Tavis
Ormandy报告,微软鲜为人知的CTF协议存在漏洞,很被容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何Windows的普通权限或高权限应用,从而接管整个操作系统。

图源:ArsTechnica

CTF代表什么,Ormandy和发现错误协议的人没有查到,它是Windows Text
Services Framework (Windows文本服务框架,TSF)
的一部分,用于管理Windows或Windows应用程序内的文本展示。当用户启动一个应用,Windows会启动一个CTF客户端,这个客户端会从一个CTF服务器接收有关操作系统语言和键盘输入方法的指令。如果操作系统输入法从一种语言切换到另一种语言,
CTF服务器会通知所有CTF客户端,实时改变每个Windows应用程序中的语言。

漏洞在于CTF服务器和客户端之间通信是不安全的,没有正确的身份验证和恰当的保护,没有访问控制。攻击者可以劫持另一个应用的CTF会话,伪装成服务器向客户端发送命令。攻击者可以使用此漏洞从其他应用程序窃取数据,或者他们可以使用它来发布这些应用程序名称中的命令。如果应用运行在高权限上,攻击者可以控制整个操作系统。根据Ormandy的说法,任何应用程序或Windows进程都可以争夺。由于CTF的作用

  • 在任何应用程序或服务中显示文本 –
    Windows操作系统上的所有内容和每个用户界面元素都有一个CTF会话。

图源:ZDnet

漏洞影响到XP以来的所有Windows版本,微软告诉ZDNet网站,他们已经把CTF协议漏洞和修复程序跟踪为CVE-2019-1162,目前不清楚微软是否或何时会释出补丁。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图