情境示意圖

微軟昨(10)釋出11月份Patch Tuesday安全更新,修補112項漏洞,其中一項修補日前已被駭客用來串聯Chrome漏洞發動攻擊。另外本月起微軟不再提供漏洞細節描述,可能讓IT部門修補起來更為傷腦筋。

10月罕見僅修補87項漏洞後,本月安全更新再度回到上百個漏洞的水準。11月Patch Tuesday修補包含17個被列為重大(critical)風險、93個重要(important)及2項中度(moderate)風險的漏洞,分布於Windows、Windows Codecs Library、Office/ Office 服務及Web App、IE、Edge HTML-based Edge及Chromium-based Edge、Exchange Server、Dynamics、Azure(Sphere、SDK、DevOps)、Microsoft Teams、Windows/Microsoft Defender及Visual Studio及ChakraCore等產品。

但本月開始,微軟Patch Tuesday公告做了重大調整,不再針對每項漏洞提供描述,而只提供漏洞編號(CVE)、漏洞風險高低、攻擊管道等資訊,以及更新版本對應的產品,由於欠缺漏洞描述,可能影響IT部門排定修補的優先順序。

其中最值得注意的是由Google Project Zero發現、編號CVE-2020-17087的Windows核心的pool-based緩衝溢位漏洞。它出現在Windows核心加密驅動程式(cng.sys)該元件IOCTL 0x390400處理過程,可讓本機攻擊者進行權限升級。它可和Chrome瀏覽器Freetype零時差漏洞串聯起來,讓惡意程式突破沙箱而在Windows執行,用於沙箱逃逸(sandbox escape)攻擊。有證據顯示目前該漏洞已經遭到使用,而且為一精準攻擊。

其他重大漏洞還包括位於Windows NFS(Network File System)的遠端程式碼執行(RCE)漏洞CVE-2020-17051。McAfee推測本漏洞可能結合NFS核心資訊讀取漏洞以繞過Windows的ASLR(address space layout randomization)防護而遠端執行程式碼。McAfee也指出本漏洞允許惡意程式自我複製(wormable),風險評分達到9.8。

Exchange Server存在CVE-2020-17084CVE-2020-17083兩個RCE漏洞,CVSS v3評分達8.5及5.5,可能經由傳送惡意郵件誘騙用戶點選開採。但發現兩漏洞的研究人員Steven Seeley指出,CVE-2020-17083不需用戶互動即可開採,風險遭低估,應提升為8.5。

Windows列印多工緩衝處理器(Print Spooler)服務出現兩項漏洞,CVE-2020-17042CVE-2020-17001。前者為CVSS v3評分為8.8的RCE漏洞,屬於重大風險。後者則為Project Zero小組發現的權限升級漏洞,是繞過Printer Spooler中的另一漏洞CVE-2020-1337而發生,Google也提供了概念驗證(PoC)攻擊程式。雖然僅列為CVSS v3 7.8的中度風險,但安全公司Tenable認為,兩漏洞可能遭駭客串聯發動攻擊。


Advertisement

更多 iThome相關內容