微軟六月發佈之漏洞修補數量,創有史以來最高

微軟於六月的Patch Tuesday修補了129個安全漏洞,創下了微軟歷年來單月漏洞修補數量的新紀錄,當中有11個被列為重大(Critical)漏洞。
 
在11個重大漏洞中,有3個屬於VBScript的遠端攻擊漏洞,它們分別是CVE-2020-1213、CVE-2020-1216與CVE-2020-1260,這3個漏洞都與VBScript引擎處理記憶體中物件的方式有關,進而允許駭客破壞記憶體並自遠端執行任意程式。
 
Windows圖形設備接口(GDI)處理內存中對象的方式中存在遠程代碼執行漏洞CVE-2020-1248也被修復,此漏洞可能使攻擊者能夠控制易受攻擊的系統並可能涉及誘使目標打開惡意附件。
 
此次的更新還修補了SharePoint中的許多漏洞,其中包含CVE-2020-1181(一個嚴重等級為RCE的漏洞),該漏洞與Microsoft SharePoint Server無法正確識別和篩選不安全的ASP.NET Web控制項有關。經過身份驗證的攻擊者可以成功利用此漏洞使用經特殊設計的頁面在SharePoint應用程式池進程中執行操作。
 
而CVE-2020-1206漏洞,它和之前美國CISA警告有網路攻擊的SMBGhost一樣,出現在Windows 10中 Server Message Block 3.1.1(SMBv3)協定對特定訊息處理不當。未授權的遠端攻擊者可設立一臺惡意SMBv3伺服器,誘使用戶連結以傳送惡意封包以開採漏洞。成功開採CVE-2020-1206可讓遠端攻擊者讀取Windows核心記憶體內容,因而又被稱為SMBleed漏洞。和3月釋出修補的CVE-2020-0796漏洞(SMBGhost),兩者如果串聯起來,將可讓遠端攻擊者未經驗證在Windows 10電腦或伺服器上執行任意程式碼SMBleed漏洞影響Windows 10 1903、1909以及Server 1903、1909及2004版。此漏洞已經修補,但如果用戶來不及安裝,微軟建議關閉SMBv3壓縮功能,以封鎖未驗證人士的開採行為。
 
本月還修復了一個影響SMBv1的RCE漏洞,為CVE-2020-1301,該漏洞被EternalBlue利用並引發了在2017年震撼全球的WannaCryptor。另外還有SMB漏洞的2020-1284,這是SMBv3中的拒絕服務漏洞,攻擊者可能利用該漏洞破壞易受攻擊的系統。
 
ESET資安專家建議您盡快進行所有的更新,若有任何資安需求,歡迎洽詢ESET資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://www.eset.tw/
 

微軟警告兩個Windows零時差漏洞

微軟於3.23警告Windows一項元件冒出2個重大遠端程式碼執行(remote code execution,RCE)漏洞,並偵測到已經有駭客發動攻擊,但微軟需要數週的時間才能修補。

這2項漏洞發生在Windows內建的Adobe Type Manager Library (ATMFD.dll)元件中。Adobe Type Manager Library作用為,在Windows中顯示Adobe Type 1 PostScript字型(為Adobe和微軟共同開發的一種OpenType字型),漏洞則是處理經刻意改造的文字過程發生錯誤,造成攻擊者可在Windows裝置上執行程式碼。微軟指出,攻擊方法有很多種,像是誘使用戶開啟惡意文件,或利用Windows預覽窗格預覽時開採該漏洞。微軟已經觀察到有「少數精準攻擊行動」發生。
 
漏洞影響Windows 7、8.1、RT及所有版本Windows 10,以及Windows Server 2008、2012、2016與2019版。在所有平台上2項漏洞,皆被列為「重大」(critical)風險等級。但微軟強調,在Windows 10上,攻擊僅會導致程式碼以有限權限在AppContainer沙箱執行。
 
在釋出修補程式之前,微軟建議用戶關閉「檔案總管」中的預覽窗格及詳細內容窗格,可防止檔案總管顯示OpenType字型,或是關閉WebClient服務,以封鎖最有可能的遠端攻擊途徑,但使用WebClient的服務將無法啟用,電腦也暫時無法接收WebDAV呼叫。另一個方法是重新命名ATMFD.dll,但這也可能造成某些使用OpenType字型的應用程式無法運作。不過微軟指出,Windows 10 1709以後就沒有這個檔案了。
 
*****若有任何資安需求,歡迎洽詢ESET資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://www.eset.tw/
 
 

 

微軟緊急發佈IE零時差漏洞更新


微軟於上周緊急發佈IE零時差漏洞更新並呼籲用戶儘速安裝,編號為CVE-2019-1367,發生在IE腳本引擎處理記憶體物件的過程中,會造成記憶體毁損,使攻擊者可在現有使用者電腦上執行任意程式碼。成功開採本漏洞的駭客,可取得和現有使用者相同權限,如果後者具有管理員身份,則攻擊者將能接管整台機器,進而安裝程式、修改/變更/刪除資料,或是新增完整權限的用戶帳號。在Web攻擊情境中,攻擊者可能發送郵件,誘使IE用戶點選其中URL以造訪惡意網站對用戶發動攻擊。受影響的IE版本有9、10和11。但Windows 10 1903版上的IE 11修補程式,則只能由Microsoft Update Catalog手動安裝。
 
另外同時還有編號為CVE-2019-1255的漏洞,則和Windows內建安全軟體Microsoft Defender(原名Windows Defender)中的惡意程式防護引擎(Malware Protection Engine)處理檔案不當有關,但沒有那麼嚴重,也沒有發現有攻擊行為,而且微軟也在幾天後發佈更新版本引擎。
 
ESET資安專家建議,雖然Internet Explorer已經不再獲得微軟的繼續開發,不過現在仍有不少使用者或機構採用,故需定期注意微軟的安全更新,以防駭客入侵或網路攻擊;還有不管是Internet Explorer瀏覽器、其他瀏覽器或是其他應用程式,都應該保持在最新版本並特別注意網路釣魚攻擊或DoS漏洞。
 
*****若有任何資安需求,歡迎洽詢ESET資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://www.eset.tw/
 

微軟警告有2個類似BlueKeep的RDS重大漏洞

與BlueKeep不同之處,這些漏洞會影響更新的Windows版本,包括Windows 10
 
微軟於8月中旬發布了遠端桌面服務(Remote Desktop Service,RDS)中四個關鍵漏洞的修復程式,其中兩個與“BlueKeep”有關。
 
這四個遠端程式碼執行(Remote Code Execution,RCE)漏洞:CVE-2019-1181 / CVE-2019-1182 / CVE-2019-1222 / CVE-2019-1226,都可以由攻擊者發送特製的遠端桌面協定(Remote Desktop Protocol,RDP)訊息到遠端桌面服務(Remote Desktop Service,RDS)。
 
而CVE-2019-1181 及CVE-2019-1182這二個漏洞,出現在Windows RDS(之前叫Terminal Services)服務的遠端程式碼執行漏洞,攻擊者可利用遠端桌面協定(Remote Desktop Protocol,RDP)連上目標裝置發送惡意呼叫,成功開採者可在系統上執行任意程式碼,進而安裝程式、變更/刪除資料或開設管理員權限的帳號。和第一代BlueKeep(CVE-2019-0708)及2017年的Wannacry一樣,惡意程式可從受害電腦自我增生、並且在無需使用者任何動作情況下,感染其他未修補的電腦。
 
微軟表示這兩項漏洞是在日常作業中發現,呼籲受影響的系統用戶必須盡快修補,以避免因為這些易受攻擊的漏洞而產生相關的風險。另外啟用自動更新的電腦設備皆受到這些修復程式的保護,尤其是透過網路級別身份驗證者,可以部分解決特別是在組織中出現的威脅。
 
受影響的Windows版本包括Windows 7、8.1、Windows Server 2008 R2 SP1、Server 2012,以及Windows 10桌機及Server版本。在上述平台上,二項漏洞的CVSSBase Score皆為9.8(滿分為10),屬於重大(Critical)漏洞。至於第一代BlueKeep殃及的Windows XP、Server 2003、Server 2008這次則未受影響。此外,遠端桌面協定(Remote Desktop Protocol,RDP)本身也安然無事。
 
微軟表示自己發現的兩個新可疑漏洞與英國國家網絡安全中心(NCSC)發現的BlueKeep不同,也已同時提升遠端桌面服務(Remote Desktop Service,RDS)的安全性,且目前也沒有證據顯示有任何第三方知道這些漏洞。
 
全球資安大廠ESET一直致力開發主動偵測、多層級的安全技術,並結合自動化的機器學習和人類知識,超過30年的研究經驗,為各種規模的企業和端點平台,提供主動和智慧的防護產品或解決方案。連年榮獲Virus Bulletin 100獎項肯定, 優異的成績持續保持業界領先地位。全球擁有超過1億的用戶,代理機構遍及全球超過180個國家,支援多種語系,並提供在地化的服務協助、是個人及企業值得信賴的資安領導品牌。
 
若有任何資安需求,歡迎洽詢ESET資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://www.eset.tw/