Microsoft于2020年6月发布的安全更新修补了129个漏洞,其中包括11个严重的远程执行代码漏洞,这些漏洞影响Windows,Edge和Internet Explorer浏览器以及SharePoint。
在Windows,浏览器,Office,Windows Defender,Dynamics,Visual Studio,Azure DevOps和Android应用程序中发现了被评为重要严重级别的漏洞。CyberArk(及其他)发现了其中一个缺陷,即与Windows组策略对象(GPO)机制相关的特权升级问题,并且该网络安全公司已发布了一篇博客文章,详细介绍了其发现。
本月修补的安全漏洞没有一个被利用,也没有在修复程序发布之前被披露。
趋势科技的零日活动(ZDI)指出,这是微软连续第四个月发布了针对110多个CVE的补丁程序,这是一个月内发布的补丁程序数量最多。到目前为止,今年迄今为止发布的补丁总数为616,几乎与2017年修复的总数一样多。
来自多家网络安全公司的专家对本月的补丁发表了评论:
趋势科技ZDI计划的传播经理Dustin Childs:
“存在一个严重等级的SharePoint错误,如果经过身份验证的用户设法在受影响的SharePoint版本上创建并调用特制页面,则该漏洞将允许远程执行代码。ZDI将在即将发表的博客文章中分享有关此错误的更多信息。
Mac用户谨防CVE-2020-1229 –该错误可能使攻击者即使在“预览窗格”中也可以自动加载远程图像。虽然仅此旁路就可以公开目标系统的IP地址,但通过处理特制图像来执行代码并不是闻所未闻的事情(请参阅任何GDI +错误)。修补程序适用于基于Windows的Office版本,但Mac版Office 2016和Mac版Office 2019的修补程序尚不可用。
针对特权提升(EoP)错误的补丁程序本月将成为中心焦点,共解决了70个问题。在这70个补丁中,总共有19个修复了Windows内核和内核模式驱动程序中的错误。
本月要解决的最著名的欺骗错误是针对Microsoft Bing Search for Android的补丁。由于这是一个Android应用程序,因此该更新可在Google Play商店中找到,并且必须手动安装。
本月修补了14个信息泄露错误,但只有两个-CVE-2020-1242和CVE-2020-1296 –可能泄漏PII。”
Checkmarx安全研究主管Erez Yalon:
“Microsoft’s latest fixes in its June Patch Tuesday update show that when it comes to vulnerabilities, what’s old is new again. The same vulnerabilities we’ve seen appear in Adobe Flash over the past few years, along with common cross-site-scripting (XSS) issues, were addressed this month. As witnessed within Microsoft Office SharePoint, there were multiple XSS vulnerabilities identified in the same product -- this could be the result of a researcher who found one flaw and decided to continue digging, or Microsoft itself going through similar flows of code to try to fix them all.
无论如何,这提醒我们,如果攻击者发现一个漏洞,他们将立即继续在同一代码库中寻找相似的漏洞。这种策略在其他人被修补和关闭的情况下为您提供了更多的机会,并可以使用各种攻击方案。”
情报分析师艾伦·利斯卡(Allan Liska),《记录的未来》:
“本月以CVE-2020-1281开始,CVE-2020-1281是Microsoft对象链接和嵌入(OLE)中的一个远程代码执行漏洞。此漏洞影响Windows 7至10和Windows Server 2008至2019。该漏洞以OLE验证用户输入的方式存在。发送了特制文件或程序,或诱使受害者下载了文件或程序的攻击者,可以在受害者的计算机上执行恶意代码。Microsoft将此漏洞的CVSS评分定为7.8。一个类似的漏洞CVE-2017-0199已被Lazarus组和APT 34广泛利用。
微软还披露了SharePoint远程代码执行漏洞CVE-2020-1181。该漏洞是SharePoint处理不安全的ASP.Net Web控件的方式。该漏洞影响SharePoint 2010到2019年,并且要求用户进行身份验证才能利用它。尽管Microsoft认为该漏洞的利用可能性较小,但SharePoint越来越受到威胁参与者的攻击。
Microsoft Excel本月有两个远程代码执行漏洞CVE-2020-1225和CVE-2020-1226。Excel处理内存中对象的方式都存在这两个漏洞。攻击者可以通过发送特制的Excel文档或将其托管在网站上来利用这些漏洞。如果易受攻击的用户打开文档,则攻击者将以与受害者相同的特权级别访问远程系统。长期以来,Excel一直是威胁行为者(尤其是那些参与勒索软件的威胁者)的常见交付方式,并且威胁行为者已经非常擅长快速利用Excel漏洞进行武器化。
CVE-2020-1299是Microsoft处理.LNK文件的方式中的一个远程执行代码漏洞。此漏洞影响Windows 7至10和Windows Server 2008至Windows Server2019。为了利用此漏洞,攻击者需要提供包含恶意.LNK文件的可移动驱动器或远程驱动器共享。2020年3月,Microsoft宣布了一个类似的漏洞CVE-2020-0684,人们非常担心它在首次发布时就已被利用,但迄今为止,还没有在野外被利用。”
Rapid7高级软件工程师Richard Tsang:
“本月,Windows本身的核心组件(包括内核)中存在大量漏洞,涵盖了129个漏洞中的54个。不再常见的是两个与Windows Media相关的值得注意的漏洞(CVE-2020-1238,CVE-2020-1239),我几乎将其与“浏览器漏洞”捆绑在一起,因为它的可能媒介是恶意网页。
在浏览器漏洞方面,我们继续强调良好安全做法和卫生的重要性,即不要单击(或安装)随机链接(应用程序)。本月提到的11个关键RCE中的5个(CVE-2020-1213,CVE-2020-1216,CVE-2020-1219,CVE-2020-1073,CVE-2020-1260)是基于浏览器的,可以通过很好地缓解实践。尽管如此,总是最好进行修补,例如CVE-2020-1213(这是VBScript RCE,攻击者还可以在其中嵌入标记为“初始化安全”的ActiveX控件)。
就紧急程度而言,关键的远程执行漏洞通常是优先考虑的选择补丁。幸运的是,本月有11个关键RCE漏洞中,有10个可以通过操作系统补丁修复。剩下的CVE-2020-1181是一个SharePoint修补程序,它将更加依赖于您的环境。
最后但并非最不重要的一点是,我想感谢本月已解决的SMBv3漏洞。早在2020年3月披露的CVE-2020-0796(最初为安全咨询ADV200005)现在看到针对未修补系统的功能PoC 。幸运的是,这些漏洞(CVE-2020-1206,CVE-2020-1284)继续影响1903版及更高版本的Windows 10变体。但是,所有这些漏洞之间都有一个共同点,那就是可以通过禁用SMBv3压缩来实现缓解,这被认为对性能没有负面影响。有补丁,补丁将永远是一个可靠的策略,但是很高兴知道替代方案是什么。”