0x01 事件简述
2020年09月09日,360CERT监测发现 微软官方 发布了 9月份 的风险通告,事件等级: 严重 ,事件评分: 10 。
此次安全更新发布了 129 个漏洞的补丁,主要涵盖了 Windows操作系统、IE/Edge浏览器、ChakraCore、SQL Server、Office 组件及Web Apps、Exchange服务器、OneDrive、.Net 框架、Azure DevOps、Visual Studio、Windows Defender 。其中包括 23 个严重漏洞, 105 个高危漏洞。
本次安全更新微软尚未发现有漏洞存在野利用情况
对此,360CERT建议广大用户及时将 Windows各项组件 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该事件的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 严重 |
| 影响面 | 广泛 |
| 360CERT评分 | 10 |
0x03 漏洞详情
CVE-2020-16875: Exchange Server 远程代码执行漏洞
Exchange Server 在 Internet Explorer 中处理内存中对象的方式中存在一处远程执行代码漏洞。
远程攻击者在受影响的 Exchange 服务器上通过构造特殊的cmdlet参数可触发该漏洞,成功利用此漏洞的攻击者可在受影响的系统上以SYSTEM权限 (系统最高权限) 执行任意代码。
CVE-2020-1319: Microsoft Windows Codecs 库远程执行代码漏洞
Microsoft Windows Codecs 库处理内存中的对象时,存在一处远程执行代码漏洞。
远程攻击者通过构造特制的文件并诱使用户打开,即可触发该漏洞,成功利用该漏洞的攻击者可在受影响的系统上执行任意代码。
CVE-2020-0922: Microsoft COM 远程执行代码漏洞
Windows 的 Microsoft COM 处理内存中的对象时的方式中存在远程代码执行漏洞。成功利用该漏洞的攻击者可在受影响的系统上执行任意代码。
远程攻击者通过构造特制的 JavaScript 页面并诱使用户打开,即可触发该漏洞,成功利用该漏洞的攻击者可在受影响的系统上执行任意代码。
SharePoint 多个远程执行代码漏洞
漏洞编号如下:
- CVE-2020-1200
- CVE-2020-1210
- CVE-2020-1452
- CVE-2020-1453
- CVE-2020-1576
- CVE-2020-1595
- CVE-2020-1460
Microsoft SharePoint 软件中存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在 SharePoint 应用程序和 SharePoint 服务器帐户的上下文中运行任意代码。
攻击者通过将经特殊设计的 SharePoint 应用程序,上传到受影响版本的 SharePoint服务器,即可触发该漏洞,成功利用该漏洞的攻击者可在受影响的系统上执行任意代码。
0x04 影响版本
已利用>易利用>可利用>难利用
| 编号 | 描述 | 新版可利用性 | 历史版本可利用性 | 公开状态 | 在野利用 | 导致结果 |
|---|---|---|---|---|---|---|
| CVE-2020-16862 | Microsoft Dynamics 365(本地)远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1595 | Microsoft SharePoint 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1319 | Microsoft Windows Codecs 库远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1452 | Microsoft SharePoint 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16857 | Microsoft Dynamics 365 for Finance and Operations(本地)远程代码执行漏洞 | 难利用 | 难利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1453 | Microsoft SharePoint 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1210 | Microsoft SharePoint 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1508 | Windows Media 音频解码器远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1576 | Microsoft SharePoint 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0908 | Windows 文本服务模块远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1460 | Microsoft SharePoint Server 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16874 | Visual Studio 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0997 | Windows 摄像头编解码器远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1285 | GDI 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0922 | 用于 Windows 的 Microsoft COM 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0878 | Microsoft 浏览器内存损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-1200 | Microsoft SharePoint 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1129 | Microsoft Windows Codecs 库远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1593 | Windows Media 音频解码器远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1057 | 脚本引擎内存损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-1252 | Windows | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1172 | 脚本引擎内存损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-0839 | Windows dnsrslvr.dll 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16873 | Xamarin.Forms 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-1227 | Microsoft Office SharePoint | 难利用 | 难利用 | 未公开 | 不存在 | 跨站脚本攻击 |
| CVE-2020-0951 | Windows Defender 应用程序控制安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-1491 | Windows 功能发现服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1119 | Windows 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-0904 | Windows Hyper-V 拒绝服务漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-0856 | Active Directory 信息泄漏漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1592 | Windows 内核信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1594 | Microsoft Excel 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0998 | Windows 图形组件特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1338 | Microsoft Word 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1345 | Microsoft Office SharePoint | 可利用 | 可利用 | 未公开 | 不存在 | 跨站脚本攻击 |
| CVE-2020-1033 | Windows 内核信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1146 | Microsoft Store Runtime 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-0837 | ADFS 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-1228 | Windows DNS 拒绝服务漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-0912 | Windows 功能发现 SSDP 提供程序特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1245 | Win32k 特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1098 | Windows Shell 基础结构组件特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-0782 | Windows 加密目录服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1152 | Windows Win32k 特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1590 | 已连接的用户体验和遥测服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-0928 | Windows 内核信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1074 | Jet 数据库引擎远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1034 | Windows 内核特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1506 | Windows 启动应用程序特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1045 | Microsoft ASP.NET Core 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-16879 | 投影文件系统信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1097 | Windows 图形组件信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1159 | Windows 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1013 | 组策略特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16884 | Internet Explorer 浏览器帮助程序对象 (BHO) 内存损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-0870 | Shell 基础结构组件特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16881 | Visual Studio JSON 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0886 | Windows 存储服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-0805 | 投影文件系统安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-1039 | Jet 数据库引擎远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1091 | Windows 图形组件信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-0911 | Windows Modules 安装程序特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16856 | Visual Studio 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1180 | 脚本引擎内存损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-0648 | Windows RSoP 服务应用程序特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16855 | Microsoft Office 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1053 | DirectX 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1376 | Windows 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1303 | Windows Runtime特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1218 | Microsoft Word 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1012 | WinINet API 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-0761 | Active Directory 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1122 | Windows Language Pack 程序安装组件 权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1083 | Microsoft 图形组件信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16852 | OneDrive for Windows 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1514 | Microsoft Office SharePoint | 可利用 | 可利用 | 未公开 | 不存在 | 跨站脚本攻击 |
| CVE-2020-1532 | Windows InstallService 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1559 | Windows 存储服务特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1193 | Microsoft Excel 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0890 | Windows Hyper-V 拒绝服务漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-1030 | Windows 打印后台处理程序特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1198 | Microsoft Office SharePoint | 难利用 | 难利用 | 未公开 | 不存在 | 跨站脚本攻击 |
| CVE-2020-0875 | Microsoft splwow64 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1130 | 诊断中心标准收集器组件权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1575 | Microsoft Office SharePoint | 可利用 | 可利用 | 未公开 | 不存在 | 跨站脚本攻击 |
| CVE-2020-1589 | Windows 内核信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-0941 | Win32k 信息泄漏漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1224 | Microsoft Excel 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-0921 | Microsoft 图形组件信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1169 | Windows Runtime特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1031 | Windows DHCP Server 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16853 | OneDrive for Windows 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1133 | 诊断中心标准收集器组件权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1596 | TLS 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1052 | Windows 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1308 | DirectX 特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-0838 | NTFS 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1335 | Microsoft Excel 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0836 | Windows DNS 拒绝服务漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-1471 | Windows CloudExperienceHost 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-0766 | Microsoft Store Runtime 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1250 | Win32k 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1256 | Windows GDI 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1332 | Microsoft Excel 远程执行代码漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-1038 | Windows 路由实用程序拒绝服务 | 可利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-0664 | Active Directory 信息泄漏漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-16854 | Windows 内核信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-1482 | Microsoft Office SharePoint | 可利用 | 可利用 | 未公开 | 不存在 | 跨站脚本攻击 |
| CVE-2020-1205 | Microsoft SharePoint 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-0718 | Active Directory 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-0790 | Microsoft splwow64 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1507 | 用于 Windows 的 Microsoft COM 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
0x05 修复建议
通用修补建议
360CERT建议通过安装 360安全卫士 进行一键更新。
应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。
Windows server / Windows 检测并开启 Windows自动更新 流程如下
- 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
- 点击控制面板页面中的“系统和安全”,进入设置。
- 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
- 然后进入设置窗口,展开下拉菜单项,选择其中的
自动安装更新(推荐)。
临时修补建议
通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
September 2020 Security Updates
0x06 产品侧解决方案
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x07 时间线
2020-09-08 微软发布安全更新
2020-09-09 360CERT发布通告