【背景】
2019年12月11日,微软例行发布了12月份的安全更新。解决的漏洞类型主要包括越界读取和写入、一些不受信任的指针引用和一些UAF。尚无漏洞在发布时已经被公布,或收到收到主动攻击的相关报告。
其中包括某个在野外已遭到利用的零日漏洞,这些零日漏洞由卡巴斯基发现但是已有高级黑客团体利用,黑客借助这些漏洞可以直接在计算机上安装间谍软件,攻击者使用的部分代码与Lazarus APT组织有相似性。Lazarus APT组织被安全公司认为具有北朝鲜背景的专业黑客团队,攻击者借助此漏洞可以在内核模式下运行任意代码,包括安装软件、删改数据或新增同权限的用户账户。
【漏洞详情】
微软此次安全更新修复了39个安全问题,漏洞影响Windows操作系统、IE/Edge浏览器、Hyper-V Server、Microsoft Defender、Github Library、Office 服务、SQL Server等组件。
总计包含 36 个CVE,28个高危漏洞,8个中危漏洞,尚无漏洞被标记为公开已知。其中编号为CVE-2019-1458 的Win32k 权限提升漏洞被微软标记为可被利用,并已存在在野利用,已有国外安全研究人员认定有专业APT组织利用该漏洞实施定向攻击。
【风险评级】高危
【影响版本】
所有Windows版本
【修复建议】
1.建议个人用户使用腾讯电脑管、企业用户可使用腾讯御点终端安全管理系统的漏洞修复功能安装补丁。
2.用户也可通过Windows Update安装系统安全更新,企业用户还可使用集中全网推送的补丁安装方案;
【部分漏洞摘要】
Brackets远程代码执行漏洞(CVE-2019-8255)
Adobe 编号APSB19-57, 修复了 Brackets 远程代码执行漏洞,该组件可以跨平台的运行在 Windows, MacOS, Linux 上。受影响的版本为 1.14 以及更早版本。
Win32k权限提升漏洞(CVE-2019-1458)
Win32k组件无法正确处理内存中的对象时,Windows中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式下运行任意代码。然后,攻击者可能会安装程序;查看,更改或删除数据;或创建具有完全用户权限的新帐户。要利用此漏洞,攻击者首先必须登录系统。然后,攻击者可能运行可以利用此漏洞并控制受影响系统的特制应用程序。
微软表示攻击者借助此漏洞可以在内核模式下运行任意代码,包括安装软件、删改数据或新增同权限的用户账户。受影响的版本包括Windows 7 SP1~Windows 10所有版本、Windows Server 2008 R2 到Server 2019版等等。当然Windows 7 SP1之前的版本例如XP以及Windows 10已经停止支持的版本比如1803之前的版本也会受影响。
Hyper-V Server 远程代码执行漏洞(CVE-2019-1471)
当主机服务器上的Windows Hyper-V无法正确验证来宾操作系统上经过身份验证的用户的输入时,将存在一个远程执行代码漏洞。攻击者可以在客户机操作系统上运行特制的应用程序,这可能会导致Hyper-V主机操作系统执行任意代码。
Win32k Graphics 远程代码执行(CVE-2019-1468)
Windows字体库不适当地处理特制嵌入式字体时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可能会安装程序。查看,更改或删除数据;或创建具有完全用户权限的新帐户。
Git for Visual Studio 远程代码执行漏洞
CVE-2019-1349远程代码执行漏洞
CVE-2019-1350远程代码执行漏洞
CVE-2019-1352远程代码执行漏洞
CVE-2019-1354远程代码执行漏洞
CVE-2019-1387远程代码执行漏洞
当Git for Visual Studio不正确地清理输入时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。然后,攻击者可能会安装程序。查看,更改或删除数据;或创建具有完全用户权限的新帐户。使用 VS 的开发者需要重点注意。
【参考链接】
https://portal.msrc.microsoft.com/en-us/security-guidance
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2019-Dec
https://ithome.com.tw/news/134769