一、漏洞概要
2020年10月14日(北京时间),微软发布2020年10月份安全更新,共发布了87个CVE的补丁程序,同比上月降低42个,涵盖了Azure Sphere、Microsoft Dynamics、Internet Explorer(IE)、Office、Microsoft Office SharePoint等众多组件和软件。
在漏洞安全等级方面,有11个被微软官方标记为“Critical”,75个被标记为“Importent”。
在漏洞类型方面,有22个远程代码执行漏洞,5个拒绝服务漏洞,36个权限提升漏洞以及15个信息泄露漏洞。
二、漏洞数据分析
2.1 微软在2020年修复漏洞数量趋势
截至2020年10月14日,微软在2020年各月修复的漏洞数量及”critical”的漏洞数量如下所示:
总体上来看,微软今年修复的漏洞数量降低到了87个。
10月份总计公布漏洞87个,趋势由之前缓慢上升突然下降到今年二月份左右的水平,比上月降低了42个漏洞。
除6月之外,其余月份的严重等级漏洞和总漏洞数保持同趋势(增加/降低)。
千里目实验室在综合考虑往年微软公布漏洞数量和今年的特殊情况,初步估计微软在11月份公布的漏洞数量可能维持在同等数量。严重类型漏洞数量应该会维持在10个左右。
从侧面看待数据问题,2020年漏洞公布数量和往年类似,十月份数量大幅降低,结束了长达七个月的高漏洞披露量的趋势。
2.2 历史10月份漏洞补丁情况对比
从漏洞数来看,2017年10月份发布的漏洞补丁数为62,2018年为61,2019年为59,而今年为87,漏洞补丁数对比趋势如下图:
从漏洞的危险等级来看,今年10月份漏洞的危险等级分布相较以往基本处于平稳状态,增长趋势图如下所示:
在漏洞类型方面,相较于以往的对比图如下:
从漏洞总数来看,今年出现了明显增长。微软在2020年已经连续7个月发布110个以上的CVE补丁程序,这是微软有史以来连续发布CVE安全补丁数量最多的一年。到十月终于下降到110以下,但仍然比往年要多一些。
从漏洞的危险等级来看,“important”等级漏洞数量明显增长。单个的重点高可利用漏洞并未出现过度增长,但单个具有普通影响力的漏洞明显增多,这加大了漏洞利用链形成的风险。这种趋势,对于APT组织或成熟的攻击组织来说是一个利好消息,大幅度增加的普通影响力的漏洞提供了更多的攻击路径和攻击手段组合的选择。
从漏洞类型来看,权限提升漏洞(EoP)大幅增加。信息泄露漏洞(Info)小幅增加,远程代码执行漏洞(RCE)数量相较于2017年降低,相较于2018和2019年有增长。同样,信息泄露漏洞的增多有可能会扩大攻击界面和攻击路径。权限提升漏洞(EoP)大幅增加,虽然影响力不如远程代码执行漏洞,但是权限提升漏洞在内网和局域网等场景下有很大的发挥空间,需要引起高度重视,尤其是在配合社工手段的前提下,甚至可以直接接管整个局域网并进行进一步扩展攻击。欺骗类型漏洞(spoof)出现明显增加,说明有更多的研究者开始关注逻辑类问题,这类问题基本符合产品自身的验证机制,所以在防御上比较困难。而一旦成功利用spoof类型漏洞,大多可以直接实现代码执行,需要引起重视。
CVE-2020-16937,CVE-2020-16909,CVE-2020-16901,CVE-2020-16938,CVE-2020-16908,CVE-2020-16885六个漏洞已发现在野利用,不过漏洞类型均为信息泄露漏洞以及提权漏洞,没有远程代码执行漏洞,但仍需要适当引起重视。
三、10月重要漏洞分析
3.1 漏洞分析
Windows TCP/IP: CVE-2020-16898/16899,这两个漏洞均为Windows TCP/IP的漏洞。攻击者可以利用CVE-2020-16899漏洞进行拒绝服务攻击,可以通过CVE-2020-16898漏洞执行任意代码。为了利用这些漏洞,攻击者必须将特制的ICMPv6 Router Advertisement数据包发送到远程的计算机上,使得远程计算机在处理这些数据时逻辑出现了问题,导致内存被破坏。
Microsoft SharePoint: CVE-2020-16951/16952,这两个漏洞均为Microsoft SharePoint的远程代码执行漏洞。当Microsoft SharePoint无法检查应用程序的源markup时,将存在远程代码执行漏洞,这两个漏洞均可以导致攻击者在SharePoint中执行任意代码。CVE-2020-16941/16953/16948/16942/16950,这五个漏洞也均为Microsoft SharePoint的信息泄露漏洞,当Microsoft SharePoint Server无法正确处理内存中的对象时,将会存在信息泄露漏洞。攻击者可以通过登录受影响的系统并运行特定的应用程序来触发信息泄露漏洞,也可以查看页面上加载的脚本的文件夹路径。
CVE-2020-16922,该漏洞为Windows欺骗漏洞,该漏洞主要是Windows验证文件签名时发生了错误,正确签名的CAT证书文件即使附加了任意数据也仍然有效,当恶意文件进行了此种操作时,由于验证检查不完整,恶意文件的证书也是有效的,这将导致恶意文件会在受危害的系统中运行,该漏洞可能会被APT组织利用,需要注意防范。
3.2 影响范围
3.3 修复建议
微软官方已更新受影响软件的安全补丁,用户可根据不同版本系统下载安装对应的安全补丁,安全更新链接如下:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16898
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16899
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16951
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16952
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16941
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16942
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16948
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16950
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16953
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16922
3.4 缓解措施
以下缓解措施可能存在不稳定性,我们更建议您及时更新补丁。
CVE-2020-16898/16899:
首先启动PowerShell输入”ipconfig /all”获取网卡编号:
禁用ICMPv6 RDNSS,以防御漏洞:
在PowerShell中输入以下命令:
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
如需使用相关功能,可重新启用ICMPv6 RDNSS:
在PowerShell中输入以下命令:
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable
注意:此解决方法仅适用于Windows 1709及更高版本;进行更改后,无需重新启动。
四、参考链接
https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Oct
https://www.zerodayinitiative.com/blog/2020/10/13/the-october-2020-security-update-review