情境示意圖,Photo by maxpixles (https://www.maxpixels.net/Exact-Fit-Piece-Puzzle-Last-Particles-Demarcation-654957)

微軟在今年最後一個Patch Tuesday(12/8)修補了58個安全漏洞,當中有9個屬於重大(Critical)等級,且並無任何零時差漏洞。

此次的9個重大漏洞中,有3個涉及Microsoft Exchange,兩個與Microsoft Dynamics 365 for Finance有關,兩個與Microsoft SharePoint有關,另外兩個分別出現在Hyper-V與Chakra腳本引擎中,這些漏洞皆可造成遠端程式攻擊。

被趨勢科技Zero Day Initiative(ZDI)團隊視為嚴重漏洞的有CVE-2020-17132、CVE-2020-17121、CVE-2020-17095與CVE-2020-16996,當中除了CVE-2020-16996屬於重要(Important)漏洞之外,前三個皆為重大漏洞。

其中,CVE-2020-17132潛藏於Microsoft Exchange中,主要是因為不當驗證cmdlet參數所造成的,但駭客必須先通過Microsoft Exchange的身分認證才能展開攻擊,微軟並未揭露該漏洞的攻擊場景,但ZDI研究人員揣測,若駭客掌控了某個人的信箱,也許就能掌控整個Exchange伺服器。

由於微軟此次總計修補了6個Microsoft Exchange漏洞,因此ZDI建議IT管理人員應優先修補Microsoft Exchange的各式漏洞。

至於CVE-2020-17121則存在於SharePoint 中,該漏洞允許經過身分認證的使用者,以SharePoint Web Application服務的帳號,於伺服器上執行任意的.NET程式。

藏匿在Hyper-V的CVE-2020-17095漏洞,則讓駭客可藉由傳遞無效的vSMB封包資料來擴張權限,使其能在Hyper-V主機上執行任意程式,而且看起來於客座作業系統不必特別的權限,就能開採該漏洞。CVE-2020-17095是此次微軟所修補的漏洞中最嚴重的,其CVSS v3漏洞分數為8.5,但ZDI認為,如果微軟對該漏洞的攻擊複雜度判斷錯誤,那麼它有可能是個9.9分的漏洞。

CVE-2020-16996屬於Kerberos協定的安全功能繞過漏洞,微軟並未揭露該漏洞的細節,但提供了修補該漏洞的指南,透露出它與Kerberos的限制委派(Resource-Based Constrained Delegation,RBCD)功能有關。

微軟從今年11月起變更了Patch Tuesday的漏洞揭露政策,以往在修補每個漏洞時都會描述可能的攻擊場景,不過相關資訊已付之闕如。


熱門新聞

Advertisement