0x01 事件简述

2020年10月14日,360CERT监测发现 微软官方 发布了 10月份 的风险通告,事件等级: 严重 ,事件评分: 10 。

此次安全更新发布了 87 个漏洞的补丁,主要涵盖了 Windows操作系统、IE/Edge浏览器、Office 组件及Web Apps、Exchange服务器、.Net 框架、Azure DevOps、Windows 编码解码器 。其中包括 11 个严重漏洞, 75 个高危漏洞。

本次安全更新存在1个漏洞等级为严重且易利用的WindowsTCP/IP漏洞,以及存在6个信息公开的漏洞

对此,360CERT建议广大用户及时将 Windows各项组件 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 10

 

0x03 漏洞详情

CVE-2020-16898: Windows TCP/IP 远程代码执行漏洞

Windows TCP/IP 堆栈不当处理 ICMPv6 Router Advertisement 数据包时,存在一处远程执行代码漏洞。

远程攻击者通过构造特制的数据包并发送到受影响的主机,成功利用此漏洞的攻击者可在目标主机上执行任意代码,并控制该主机。

CVE-2020-16947: Microsoft Outlook 远程代码执行漏洞

Microsoft Outlook 软件无法正确处理内存中的对象时,存在一处远程代码执行漏洞。

远程攻击者通过构造特制的邮件内容发送到使用Outlook 的用户,成功利用此漏洞的攻击者可在目标主机上执行任意代码,并控制该主机。

CVE-2020-16891: Windows Hyper-V 远程执行代码漏洞

Windows Hyper-V 无法正确验证虚拟操作系统上经身份验证的用户的输入时,存在一处远程执行代码漏洞。

远程攻击者通过构造特制的二进制程序,并诱使用户在 Hyper-V 虚拟系统中打开,成功利用此漏洞的攻击者可在绕过Hyper-V在Windows主系统上执行任意代码,并控制该主机。

CVE-2020-16909: Windows 错误报告组件特权提升漏洞

Windows 错误报告 (WER)组件在处理和执行文件时,存在一处特权提升漏洞。

远程攻击者通过构造特制的二进制程序,并诱使用户打开,成功利用此漏洞的攻击者可获得更高的用户权限,并控制该主机。

微软标记该漏洞信息已经公开,ZDI标识该漏洞已存在在野利用

 

0x04 漏洞影响

已利用>易利用>可利用>难利用

编号 描述 新版可利用性 历史版本可利用性 公开状态 在野利用 导致结果
CVE-2020-17003 [严重]Base3D 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16898 [严重]Windows TCP/IP 远程代码执行漏洞 易利用 易利用 未公开 不存在 远程代码执行
CVE-2020-16968 [严重]Windows 摄像头编解码器远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16951 [严重]Microsoft SharePoint 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16952 [严重]Microsoft SharePoint 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16915 [严重]Windows Media Foundation组件损坏漏洞 可利用 可利用 未公开 不存在 内存破坏
CVE-2020-16891 [严重]Windows Hyper-V 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16967 [严重]Windows 摄像头编解码器远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16911 [严重]GDI 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16947 [严重]Microsoft Outlook 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16923 [严重]Microsoft 图形组件远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16938 [高危]Windows 内核信息泄漏漏洞 可利用 可利用 已公开 不存在 信息泄漏
CVE-2020-16901 [高危]Windows 内核信息泄漏漏洞 可利用 可利用 已公开 不存在 信息泄漏
CVE-2020-16909 [高危]Windows 错误报告组件特权提升漏洞 可利用 可利用 已公开 不存在 权限提升
CVE-2020-16937 [高危].NET Framework 信息泄漏漏洞 可利用 可利用 已公开 不存在 信息泄漏
CVE-2020-16908 [高危]Windows 安装程序特权提升漏洞 可利用 可利用 已公开 不存在 权限提升
CVE-2020-16885 [高危]Windows 存储 VSP 驱动程序特权提升漏洞 可利用 可利用 已公开 不存在 权限提升
CVE-2020-16946 [高危]Microsoft Office SharePoint 可利用 可利用 未公开 不存在 跨站脚本攻击
CVE-2020-16894 [高危]Windows NAT 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16886 [高危]PowerShellGet 模块 WDAC 安全功能绕过漏洞 可利用 可利用 未公开 不存在
CVE-2020-16934 [高危]Microsoft Office 即点即用特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16955 [高危]Microsoft Office 即点即用特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16920 [高危]Windows 应用程序兼容性客户端库特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16976 [高危]Windows 备份服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16944 [高危]Microsoft SharePoint Reflective 可利用 可利用 未公开 不存在 跨站脚本攻击
CVE-2020-16928 [高危]Microsoft Office 即点即用特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16900 [高危]Windows 事件系统特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16930 [高危]Microsoft Excel 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16877 [高危]Windows 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16913 [高危]Win32k 特权提升漏洞 易利用 易利用 未公开 不存在 权限提升
CVE-2020-16914 [高危]Windows GDI+ 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-16921 [高危]Windows 文本服务框架信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-1167 [高危]Microsoft 图形组件远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16941 [高危]Microsoft SharePoint 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-16995 [高危]适用于 Linux 的网络观察程序代理虚拟机扩展特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16933 [高危]Microsoft Word 安全功能绕过漏洞 可利用 可利用 未公开 不存在
CVE-2020-1047 [高危]Windows Hyper-V 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16907 [高危]Win32k 特权提升漏洞 易利用 易利用 未公开 不存在 权限提升
CVE-2020-16922 [高危]Windows 欺骗漏洞 易利用 易利用 未公开 不存在 欺骗攻击
CVE-2020-16977 [高危]Visual Studio Code Python 扩展程序远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16974 [高危]Windows 备份服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16942 [高危]Microsoft SharePoint 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-16950 [高危]Microsoft SharePoint 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-16935 [高危]Windows COM Server 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16939 [高危]组策略特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1243 [高危]Windows Hyper-V 拒绝服务漏洞 可利用 可利用 未公开 不存在 拒绝服务
CVE-2020-1080 [高危]Windows Hyper-V 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16940 [高危]Windows – User Profile Service 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16924 [高危]Jet 数据库引擎远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16897 [高危]NetBT 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-16957 [高危] Windows Office 访问连接引擎远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16904 [高危]Azure 功能特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16969 [高危]Microsoft Exchange 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-16902 [高危]Windows 程序安装组件 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16912 [高危]Windows 备份服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16954 [高危]Microsoft Office 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16905 [高危]Windows 错误报告组件特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16927 [高危]Windows 远程桌面协议 (RDP) 拒绝服务漏洞 可利用 可利用 未公开 不存在 拒绝服务
CVE-2020-16975 [高危]Windows 备份服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16899 [高危]Windows TCP/IP 拒绝服务漏洞 易利用 易利用 未公开 不存在 拒绝服务
CVE-2020-16910 [高危]Windows 安全功能绕过漏洞 可利用 可利用 未公开 不存在
CVE-2020-0764 [高危]Windows 存储服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16918 [高危]Base3D 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16892 [高危]Windows 映像特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16887 [高危]Windows 网络连接服务权限提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16945 [高危]Microsoft Office SharePoint 可利用 可利用 未公开 不存在 跨站脚本攻击
CVE-2020-16953 [高危]Microsoft SharePoint 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-16890 [高危]Windows 内核特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16896 [高危]Windows 远程桌面协议 (RDP) 信息泄漏漏洞 易利用 易利用 未公开 不存在 信息泄漏
CVE-2020-16948 [高危]Microsoft SharePoint 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-16916 [高危]Windows COM Server 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16931 [高危]Microsoft Excel 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16876 [高危]Windows 应用程序兼容性客户端库特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16972 [高危]Windows 备份服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16929 [高危]Microsoft Excel 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16936 [高危]Windows 备份服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16932 [高危]Microsoft Excel 远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-16889 [高危]Windows KernelStream 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-16943 [高危]Dynamics 365 Commerce 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16863 [高危]Windows 远程桌面服务拒绝服务漏洞 可利用 可利用 未公开 不存在 拒绝服务
CVE-2020-16973 [高危]Windows 备份服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-16980 [高危]Windows iSCSI 目标服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升

 

0x05 修复建议

通用修补建议

360CERT建议通过安装 360安全卫士 进行一键更新。

应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

Windows server / Windows 检测并开启 Windows自动更新 流程如下

  • 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
  • 点击控制面板页面中的“系统和安全”,进入设置。
  • 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
  • 然后进入设置窗口,展开下拉菜单项,选择其中的 自动安装更新(推荐) 。

临时修补建议

通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

October 2020 Security Updates

 

0x06 产品侧解决方案

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。 

 

0x07 时间线

2020-10-13 微软发布安全更新

2020-10-14 360CERT发布通告

 

0x08 参考链接

  1. October 2020 Security Updates
  2. Zero Day Initiative — The October 2020 Security Update Review

 

0x09 特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

2020-10 补丁日: 微软多个产品高危漏洞安全风险通告 若有订阅意向与定制需求请发送邮件至 g-cert-report@360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。



Source link

Is your business effected by Cyber Crime?

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.

Digitpol’s Cyber Crime Investigation Unit provides investigative support to victims of cyber crimes. Digitpol is available 24/7. https://digitpol.com/cybercrime-investigation/

Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884