今年最後一個Patch Tuesday，微軟修補58個安全漏洞

微軟在今年最後一個Patch Tuesday（12/8）修補了58個安全漏洞，當中有9個屬於重大（Critical）等級，且並無任何零時差漏洞。

此次的9個重大漏洞中，有3個涉及Microsoft Exchange，兩個與Microsoft Dynamics 365 for Finance有關，兩個與Microsoft SharePoint有關，另外兩個分別出現在Hyper-V與Chakra腳本引擎中，這些漏洞皆可造成遠端程式攻擊。

被趨勢科技Zero Day Initiative（ZDI）團隊視為嚴重漏洞的有CVE-2020-17132、CVE-2020-17121、CVE-2020-17095與CVE-2020-16996，當中除了CVE-2020-16996屬於重要（Important）漏洞之外，前三個皆為重大漏洞。

其中，CVE-2020-17132潛藏於Microsoft Exchange中，主要是因為不當驗證cmdlet參數所造成的，但駭客必須先通過Microsoft Exchange的身分認證才能展開攻擊，微軟並未揭露該漏洞的攻擊場景，但ZDI研究人員揣測，若駭客掌控了某個人的信箱，也許就能掌控整個Exchange伺服器。

由於微軟此次總計修補了6個Microsoft Exchange漏洞，因此ZDI建議IT管理人員應優先修補Microsoft Exchange的各式漏洞。

至於CVE-2020-17121則存在於SharePoint 中，該漏洞允許經過身分認證的使用者，以SharePoint Web Application服務的帳號，於伺服器上執行任意的.NET程式。

藏匿在Hyper-V的CVE-2020-17095漏洞，則讓駭客可藉由傳遞無效的vSMB封包資料來擴張權限，使其能在Hyper-V主機上執行任意程式，而且看起來於客座作業系統不必特別的權限，就能開採該漏洞。CVE-2020-17095是此次微軟所修補的漏洞中最嚴重的，其CVSS v3漏洞分數為8.5，但ZDI認為，如果微軟對該漏洞的攻擊複雜度判斷錯誤，那麼它有可能是個9.9分的漏洞。

CVE-2020-16996屬於Kerberos協定的安全功能繞過漏洞，微軟並未揭露該漏洞的細節，但提供了修補該漏洞的指南，透露出它與Kerberos的限制委派（Resource-Based Constrained Delegation，RBCD）功能有關。

微軟從今年11月起變更了Patch Tuesday的漏洞揭露政策，以往在修補每個漏洞時都會描述可能的攻擊場景，不過相關資訊已付之闕如。