0x01 事件简述
2020年11月11日,360CERT监测发现 微软官方 发布了 11月安全更新 的风险通告,事件等级: 严重 ,事件评分: 9.8 。
此次安全更新发布了 112 个漏洞的补丁,主要涵盖了 Windows操作系统、IE/Edge浏览器、Office 组件及Web Apps、ChakraCore、Exchange服务器、.Net 框架、Azure DevOps、Windows Defender、Visual Studio等 。其中包括 17 个严重漏洞, 93 个高危漏洞。
本次微软更新漏洞评级并不严格遵守CVSS3评分规范,官方评定的漏洞等级与官方评定的CVSS分数并不完全一致
对此,360CERT建议广大用户及时将 Windows操作系统及相关组件 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该事件的评定结果如下
评定方式
等级
威胁等级
严重
影响面
广泛
360CERT评分
9.8
0x03 漏洞详情
CVE-2020-17087: 权限提升漏洞
Windows Kernel 中存在一处本地权限提升漏洞。
已公开披露;已存在在野利用
本地攻击者通过在受影响的操作系统上运行特制的程序来进行漏洞利用,利用成功后便可提升到System(最高权限)并完全控制该主机。
CVE-2020-17051: 代码执行漏洞
Windows 网络文件系统中存在一处远程代码执行漏洞。
未授权的远程攻击者通过发送特制的请求内容至受影响的操作系统来进行漏洞利用,利用成功后便可在操作系统上执行任意代码,并完全控制该服务的用户账户。
CVE-2020-17084: 代码执行漏洞
Exchange Server 中存在一处远程代码执行漏洞。
此漏洞利用复杂度高
未授权的远程攻击者通过向Exchage服务器发送特制的请求包来进行漏洞利用,利用成功后便可获得服务器完整控制权限。
CVE-2020-17040: 验证绕过漏洞
Windows Hyper-V 安全功能更新绕过。
当前尚无明确细节表明该漏洞影响哪些安全功能
该漏洞无需用户身份验证且攻击复杂度低
未授权的远程攻击通过向Hyper-V服务器发送特制的请求包来进行漏洞利用,利用成功后便可绕过Hyper-V现有的部分安全特性。
0x04 漏洞影响
已利用>易利用>可利用>难利用
编号
描述
新版可利用性
历史版本可利用性
公开状态
在野利用
导致结果
CVE-2020-17087
[高危]Windows 内核本地特权提升漏洞
已利用
已利用
已公开
已存在
权限提升
CVE-2020-17110
[严重]HEVC Video 扩展程序远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17051
[严重]Windows 网络文件系统远程代码执行漏洞
易利用
易利用
未公开
不存在
远程代码执行
CVE-2020-17107
[严重]HEVC Video 扩展程序远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17105
[严重]AV1 Video 扩展程序远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17082
[严重]Raw Image Extension
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17048
[严重]Chakra 脚本引擎内存损坏漏洞
可利用
可利用
未公开
不存在
内存破坏
CVE-2020-17042
[严重]Windows 打印后台处理程序远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17101
[严重]HEIF Image 扩展程序远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17109
[严重]HEVC Video 扩展程序远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17052
[严重]脚本引擎内存损坏漏洞
易利用
易利用
未公开
不存在
内存破坏
CVE-2020-17108
[严重]HEVC Video 扩展程序远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17078
[严重]Raw Image Extension
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17058
[严重]Microsoft 浏览器内存损坏漏洞
可利用
可利用
未公开
不存在
内存破坏
CVE-2020-17079
[严重]Raw Image Extension
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17106
[严重]HEVC Video 扩展程序远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-16988
[严重]Azure Sphere 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17053
[严重]Internet Explorer 内存损坏漏洞
易利用
易利用
未公开
不存在
内存破坏
CVE-2020-16981
[高危]Azure Sphere 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17086
[高危]Raw Image Extension
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17028
[高危]Windows 远程访问特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17060
[高危]Microsoft SharePoint 欺骗漏洞
可利用
可利用
未公开
不存在
欺骗攻击
CVE-2020-17035
[高危]Windows 内核特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17041
[高危]Windows 打印机配置特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17038
[高危]Win32k 特权提升漏洞
易利用
易利用
未公开
不存在
权限提升
CVE-2020-16986
[高危]Azure Sphere 拒绝服务漏洞
可利用
可利用
未公开
不存在
拒绝服务
CVE-2020-16992
[高危]Azure Sphere 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17064
[高危]Microsoft Excel 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17016
[高危]Microsoft SharePoint 欺骗漏洞
可利用
可利用
未公开
不存在
欺骗攻击
CVE-2020-17007
[高危]Windows 错误报告组件特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17061
[高危]Microsoft SharePoint 远程代码执行漏洞
易利用
易利用
未公开
不存在
远程代码执行
CVE-2020-17065
[高危]Microsoft Excel 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-16998
[高危]DirectX 特权提升漏洞
易利用
易利用
未公开
不存在
权限提升
CVE-2020-17049
[高危]Kerberos 安全功能绕过漏洞
可利用
可利用
未公开
不存在
CVE-2020-17026
[高危]Windows 远程访问特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17024
[高危]Windows Client Side Rendering Print Provider 服务权限提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17104
[高危]Visual Studio Code JSHint 扩展程序远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17020
[高危]Microsoft Word 安全功能绕过漏洞
可利用
可利用
未公开
不存在
CVE-2020-17054
[高危]Chakra 脚本引擎内存损坏漏洞
可利用
可利用
未公开
不存在
内存破坏
CVE-2020-17067
[高危]Microsoft Excel 安全功能绕过漏洞
可利用
可利用
未公开
不存在
CVE-2020-17031
[高危]Windows 远程访问特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17085
[高危]Microsoft Exchange Server 拒绝服务漏洞
可利用
可利用
未公开
不存在
拒绝服务
CVE-2020-16989
[高危]Azure Sphere 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17019
[高危]Microsoft Excel 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17010
[高危]Win32k 特权提升漏洞
易利用
易利用
未公开
不存在
权限提升
CVE-2020-17044
[高危]Windows 远程访问特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17074
[高危]Windows Update Orchestrator 服务权限提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17077
[高危]Windows Update Stack 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17012
[高危]Windows 绑定筛选器驱动程序特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-1325
[高危]Azure DevOps Server 和 Team Foundation Services 欺骗漏洞
可利用
可利用
未公开
不存在
欺骗攻击
CVE-2020-17032
[高危]Windows 远程访问特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17055
[高危]Windows 远程访问特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17027
[高危]Windows 远程访问特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17011
[高危]Windows端口类库特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17083
[高危]Microsoft Exchange Server 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17033
[高危]Windows 远程访问特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17043
[高危]Windows 远程访问特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17075
[高危]Windows USO 核心工作器特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17113
[高危]Windows Camera Codec 信息泄漏漏洞
可利用
可利用
未公开
不存在
信息泄漏
CVE-2020-17076
[高危]Windows Update Orchestrator 服务权限提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17062
[高危]Windows Office 访问连接引擎远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17025
[高危]Windows 远程访问特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17070
[高危]Windows Update Medic 服务权限提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17001
[高危]Windows 打印后台处理程序特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17040
[高危]Windows Hyper-V 安全功能绕过漏洞
可利用
可利用
未公开
不存在
CVE-2020-17056
[高危]Windows Network File System
易利用
易利用
未公开
不存在
信息泄漏
CVE-2020-17037
[高危]Windows WalletService 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17090
[高危]Microsoft Defender for Endpoint
可利用
可利用
未公开
不存在
安全特性绕过
CVE-2020-17081
[高危]Microsoft Raw Image Extension
可利用
可利用
未公开
不存在
信息泄漏
CVE-2020-17066
[高危]Microsoft Excel 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17057
[高危]Windows Win32k 特权提升漏洞
易利用
易利用
未公开
不存在
权限提升
CVE-2020-17084
[高危]Microsoft Exchange Server 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17034
[高危]Windows 远程访问特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-1599
[高危]Windows 欺骗漏洞
可利用
可利用
未公开
不存在
欺骗攻击
CVE-2020-17047
[高危]Windows网络文件系统拒绝服务漏洞
可利用
可利用
未公开
不存在
拒绝服务
CVE-2020-17073
[高危]Windows Update Orchestrator 服务权限提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-16993
[高危]Azure Sphere 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
CVE-2020-17091
[高危]Microsoft Teams 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17068
[高危]Windows GDI+ 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行
CVE-2020-17063
[高危]Microsoft Office Online 欺骗漏洞
可利用
可利用
未公开
不存在
欺骗攻击
CVE-2020-17014
[高危]Windows 打印后台处理程序特权提升漏洞
可利用
可利用
未公开
不存在
权限提升
0x05 修复建议
通用修补建议
360CERT建议通过安装 360安全卫士 进行一键更新。
应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。
Windows server / Windows 检测并开启 Windows自动更新 流程如下
点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
点击控制面板页面中的“系统和安全”,进入设置。
在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
然后进入设置窗口,展开下拉菜单项,选择其中的 自动安装更新(推荐) 。
临时修补建议
通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
2020 年 11 月安全更新 – 发行说明 – 安全更新程序指南 – Microsoft
0x06 产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x07 时间线
2020-11-10 微软发布安全更新
2020-11-11 360CERT发布通告
0x08 参考链接
Zero Day Initiative — The November 2020 Security Update Review
0x09 特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
文章原文链接:https://www.anquanke.com/post/id/222194
