微软昨(10)发布11月份Patch Tuesday安全更新,修补112项漏洞,其中一项修补日前已被黑客用来串联Chrome漏洞发动攻击。另外本月起微软不再提供漏洞细节描述,可能让IT部门修补起来更为伤脑筋。
在10月罕见仅修补87项漏洞后,本月安全更新再度回到上百个漏洞的水准。11月Patch Tuesday修补包含17个被列为重大(critical)风险、93个重要(important)及2项中度(moderate)风险的漏洞,分布于Windows、Windows Codecs Library、Office/ Office服务及Web App、IE、Edge HTML-based Edge及Chromium-based Edge、Exchange Server、Dynamics、Azure(Sphere、SDK、DevOps)、Microsoft Teams、Windows/Microsoft Defender及Visual Studio及ChakraCore等产品。
但本月开始,微软Patch Tuesday公告做了重大调整,不再针对每项漏洞提供描述,而只提供漏洞编号(CVE)、漏洞风险高低、攻击渠道等信息,以及更新版本对应的产品,由于欠缺漏洞描述,可能影响IT部门排定修补的优先级。
其中最值得注意的是由Google Project Zero发现、编号CVE-2020-17087的Windows核心的pool-based缓冲溢出漏洞。它出现在Windows核心加密驱动程序(cng.sys)该组件IOCTL 0x390400处理过程,可让本机攻击者进行权限升级。它可和Chrome浏览器Freetype零时差漏洞串联起来,让恶意程序突破沙箱而在Windows执行,用于沙箱逃逸(sandbox escape)攻击。有证据显示目前该漏洞已经遭到使用,而且为一精准攻击。
其他重大漏洞还包括位于Windows NFS(Network File System)的远程程序代码执行(RCE)漏洞CVE-2020-17051。McAfee推测本漏洞可能结合NFS核心信息读取漏洞以绕过Windows的ASLR(address space layout randomization)防护而远程执行程序代码。McAfee也指出本漏洞允许恶意程序自我复制(wormable),风险评分达到9.8。
Exchange Server存在CVE-2020-17084及CVE-2020-17083两个RCE漏洞,CVSS v3评分达8.5及5.5,可能经由发送恶意邮件诱骗用户点击开采。但发现两漏洞的研究人员Steven Seeley指出,CVE-2020-17083不需用户交互即可开采,风险遭低估,应提升为8.5。
Windows打印多任务缓冲处理器(Print Spooler)服务出现两项漏洞,CVE-2020-17042及CVE-2020-17001。前者为CVSS v3评分为8.8的RCE漏洞,属于重大风险。后者则为Project Zero小组发现的权限升级漏洞,是绕过Printer Spooler中的另一漏洞CVE-2020-1337而发生,Google也提供了概念验证(PoC)攻击程序。虽然仅列为CVSS v3 7.8的中度风险,但安全公司Tenable认为,两漏洞可能遭黑客串联发动攻击。