从Edge和Office到内核代码再到Adobe Flash,数十个漏洞亟待修复。
最近一期的更新日微软和Adobe修复了各自产品中大堆安全漏洞,这些漏洞可被黑客用于强占计算机资源、抽取用户个人信息等。
仅微软就放出了68个补丁,其中21个是关键更新,至少2个有在野活跃漏洞利用。首先应关注的是浏览器和内核补丁,然后应检查未解决的 Office 365 电子邮件过滤绕过问题;如果使用虚拟机,Hyper-V虚拟机管理程序补丁是你接下来需要查看的,然后才是其他的。
基本上,这次的补丁涵盖了IE、Edge、Windows、Office及Office服务和 Web App、ChakraCore、Adobe Flash 播放器、.NET Framework、Exchange Server、Windows主机计算服务Shim库等等。
Hyper-V
微软Hyper-V客户虚拟机中执行的应用程序可逃逸至宿主机上执行恶意代码。也就是说,客户虚拟机上运行的软件和登录的用户可以控制其他虚拟机和底层服务器。该漏洞编号为 CVE-2018-0959 和 CVE-2018-0961,后者涉及vSMB。这对虚拟机管理程序开发人员和管理员来说不啻为噩梦般的场景。
Edge、IE和 Windows VBScript 引擎
通过内存崩溃漏洞CVE-2018-8174,恶意网页可利用VBScript引擎在目标系统上执行任意恶意代码,扫清恶意软件安装的障碍。
民族国家黑客已经在用该编程漏洞入侵计算机并对目标实施监视。卡巴斯基实验室和奇虎360核心安全团队均发现并报告了此漏洞。
微软称:“基于Web的攻击场景中,攻击者可精心构筑专门通过IE利用该漏洞的网站,然后引诱用户浏览该站点。”
“
攻击者也可在应用或有IE渲染引擎的Office文档中嵌入标记为“可安全初始化”的ActiveX控件。被入侵网站和接受或托管用户提供内容或广告的站点也可成为攻击者利用的工具。这些网站可包含能利用该漏洞的特别构造的内容。
攻击者还可通过CVE-2018-0943漏洞利用Edge中的Chakra脚本引擎,在访问了恶意网页的主机上执行代码的恶意软件。Edge的Chakra和IE的脚本引擎还有以下漏洞:
CVE-2018-0945、CVE-2018-0946、CVE-2018-0951、CVE-2018-0953、CVE-2018-0954、CVE-2018-0955、CVE-2018-1022、CVE-2018-8114、CVE-2018-8122、CVE-2018-8128、CVE-2018-8130、CVE-2018-8133、CVE-2018-8137、CVE-2018-8139、CVE-2018-8177和CVE-2018-8178。
Windows内核
Windows内核漏洞CVE-2018-8120可被黑客用于执行恶意软件,获取管理员权限,进而完全劫持主机。该漏洞仅影响 Windows 7 和 Server 2008。
ESET的安全研究人员发现并报告了该漏洞。
影响 Windows 10 的漏洞是CVE-2018-8170,这是一个Windows镜像处理系统提权漏洞,应用程序向内核抛出可疑快照即可获得该主机的管理权限。
Windows多个版本中都存在内核级提权漏洞,比如CVE-2018-8134和CVE-2018-8124,可被应用程序和登录用户用以获取管理员权限。
Exchange 和 Office 365
微软Exchange漏洞CVE-2018-8153可使攻击者利用 Outlook Web 对象将用户导向伪装成合法站点的可疑网站,盗取用户的登录口令和其他信息。要实现该漏洞利用,攻击者得向受害者发送含可疑链接的电子邮件,或在聊天中发送消息引诱他们点击。
微软解释称:“成功利用该漏洞的攻击者可进行脚本或内容注入攻击,尝试诱骗用户泄露敏感信息。攻击者还可重定向用户到假冒站点或可被用于进一步攻击的枢纽恶意站点。
“
攻击者会向用户发送内含恶意链接的钓鱼邮件,也可利用聊天软件对用户实施社会工程攻击,诱骗用户点击恶意链接。但想要成功利用该漏洞,目标用户都必须点击该恶意链接。
URL过滤器
上述补丁都没有解决本月Avanan报告的 Office 365 消息过滤绕过漏洞,攻击者在HTML消息里使用<base>标签就能构造实际指向恶意站点的“干净”URL,躲过URL过滤器的检测。目前尚无已知缓解措施根治利用该 Office 365 漏洞的电子邮件。
如果你依赖微软云套装封锁内含恶意网站链接的邮件,得注意已有利用该过滤器绕过漏洞的在野攻击。微软如今已意识到了这一问题,建议用户不要点击来自陌生人的链接。
微软发言人说:“我们鼓励客户养成安全计算机使用习惯,避免打开发自陌生人的邮件中的链接。”
Office 和 Excel
在有漏洞的主机上打开恶意Office文档,包括Excel电子表格,有可能触发执行恶意软件和间谍软件。比如说,Excel漏洞 CVE-2018-8162和Office漏洞CVE-2018-8158及CVE-2018-8161,就可被诱饵文件利用来在打开了该文件的系统上运行间谍软件或勒索软件。
类似的,Windows上的微软COM组件也能被利用,攻击者可通过CVE-2018-0824漏洞执行电子邮件或网页中夹带的任意代码。
容器
如果能诱使管理员导入诱饵容器镜像,就可利用 Windows主机计算服务(HCS)Shim库漏洞CVE-2018-8115在宿主服务器上执行恶意代码。
账户及其他
内网中域账户可利用CVE-2018-8136漏洞获得管理员权限。其他提权漏洞还包括SharePoint中的CVE-2018-8168、Windows通用日志文件系统驱动漏洞CVE-2018-8167,以及DirectX漏洞CVE-2018-8165。利用这些漏洞,普通用户权限可提升至完全的管理员权限。
Azure驱动的物联网
Azure的IoT设备配置高级消息队列协议(AMQP)传输库——IoT设备上运行的软件工具包,并未恰当验证其云后端发来的安全证书。该漏洞编号为CVE-2018-8119,可供黑客进行中间人攻击,伪装成网络上的Azure服务器,劫持并监听配置过程中本应安全的IoT设备连接。
Adobe
一如既往,Adobe的Flash播放器继续更新,Windows、Mac和Linux系统上都需要更新,否则恶意Flash文件就会劫持你的系统。各操作系统平台上的 Adobe Connect 同样需要修复,以防泄露敏感信息,而Windows和macOS上的创意云桌面应用则应打上挫败提权尝试的补丁。
总结
微软周二更新日的大体内容如上所述,Adobe的也列出来了。请尽快测试并应用上述补丁,以免失去对自家主机和数据的控制。这些远程执行和提权漏洞可被滥用在攻击链中,从通过社交媒体或邮件附件诱骗用户打开某个网页开始,直至攻击者完全掌控目标主机。
补漏需谨慎
微软5月更新中的警告应谨记在心。Windows 10 version 1607 上,应用这批补丁可能会影响之前功能升级的部署。Windows 10 version 1709 上,某些非英文版本可能会在查看计划任务时显示错误信息。运行 Windows 7 Service Pack 1 或 Windows Server 2008 R2 Service Pack 1 的机器,若处理器不支持2001年引入的SSE2(单指令多数据(SIMD)流技术扩展2),可能会蓝屏崩溃——这是得多老的机器才会受影响?
本文转自安全牛 作者 nana,原文链接:https://mp.weixin.qq.com/s/ytvhegfEQ-kn9iX_dOKlYw