0x01 事件简述
2020年11月11日,360CERT监测发现 微软官方 发布了 11月安全更新 的风险通告,事件等级: 严重 ,事件评分: 9.8 。
此次安全更新发布了 112 个漏洞的补丁,主要涵盖了 Windows操作系统、IE/Edge浏览器、Office 组件及Web Apps、ChakraCore、Exchange服务器、.Net 框架、Azure DevOps、Windows Defender、Visual Studio等 。其中包括 17 个严重漏洞, 93 个高危漏洞。
本次微软更新漏洞评级并不严格遵守CVSS3评分规范,官方评定的漏洞等级与官方评定的CVSS分数并不完全一致
对此,360CERT建议广大用户及时将 Windows操作系统及相关组件 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该事件的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 严重 |
| 影响面 | 广泛 |
| 360CERT评分 | 9.8 |
0x03 漏洞详情
CVE-2020-17087: 权限提升漏洞
Windows Kernel 中存在一处本地权限提升漏洞。
已公开披露;已存在在野利用
本地攻击者通过在受影响的操作系统上运行特制的程序来进行漏洞利用,利用成功后便可提升到System(最高权限)并完全控制该主机。
CVE-2020-17051: 代码执行漏洞
Windows 网络文件系统中存在一处远程代码执行漏洞。
未授权的远程攻击者通过发送特制的请求内容至受影响的操作系统来进行漏洞利用,利用成功后便可在操作系统上执行任意代码,并完全控制该服务的用户账户。
CVE-2020-17084: 代码执行漏洞
Exchange Server 中存在一处远程代码执行漏洞。
此漏洞利用复杂度高
未授权的远程攻击者通过向Exchage服务器发送特制的请求包来进行漏洞利用,利用成功后便可获得服务器完整控制权限。
CVE-2020-17040: 验证绕过漏洞
Windows Hyper-V 安全功能更新绕过。
当前尚无明确细节表明该漏洞影响哪些安全功能
该漏洞无需用户身份验证且攻击复杂度低
未授权的远程攻击通过向Hyper-V服务器发送特制的请求包来进行漏洞利用,利用成功后便可绕过Hyper-V现有的部分安全特性。
0x04 漏洞影响
已利用>易利用>可利用>难利用
| 编号 | 描述 | 新版可利用性 | 历史版本可利用性 | 公开状态 | 在野利用 | 导致结果 |
|---|---|---|---|---|---|---|
| CVE-2020-17087 | [高危]Windows 内核本地特权提升漏洞 | 已利用 | 已利用 | 已公开 | 已存在 | 权限提升 |
| CVE-2020-17110 | [严重]HEVC Video 扩展程序远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17051 | [严重]Windows 网络文件系统远程代码执行漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17107 | [严重]HEVC Video 扩展程序远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17105 | [严重]AV1 Video 扩展程序远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17082 | [严重]Raw Image Extension | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17048 | [严重]Chakra 脚本引擎内存损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-17042 | [严重]Windows 打印后台处理程序远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17101 | [严重]HEIF Image 扩展程序远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17109 | [严重]HEVC Video 扩展程序远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17052 | [严重]脚本引擎内存损坏漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-17108 | [严重]HEVC Video 扩展程序远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17078 | [严重]Raw Image Extension | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17058 | [严重]Microsoft 浏览器内存损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-17079 | [严重]Raw Image Extension | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17106 | [严重]HEVC Video 扩展程序远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16988 | [严重]Azure Sphere 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17053 | [严重]Internet Explorer 内存损坏漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-16981 | [高危]Azure Sphere 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17086 | [高危]Raw Image Extension | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17028 | [高危]Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17060 | [高危]Microsoft SharePoint 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-17035 | [高危]Windows 内核特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17041 | [高危]Windows 打印机配置特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17038 | [高危]Win32k 特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16986 | [高危]Azure Sphere 拒绝服务漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-16992 | [高危]Azure Sphere 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17064 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17016 | [高危]Microsoft SharePoint 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-17007 | [高危]Windows 错误报告组件特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17061 | [高危]Microsoft SharePoint 远程代码执行漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17065 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16998 | [高危]DirectX 特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17049 | [高危]Kerberos 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-17026 | [高危]Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17024 | [高危]Windows Client Side Rendering Print Provider 服务权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17104 | [高危]Visual Studio Code JSHint 扩展程序远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17020 | [高危]Microsoft Word 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-17054 | [高危]Chakra 脚本引擎内存损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-17067 | [高危]Microsoft Excel 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-17031 | [高危]Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17085 | [高危]Microsoft Exchange Server 拒绝服务漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-16989 | [高危]Azure Sphere 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17019 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17010 | [高危]Win32k 特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17044 | [高危]Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17074 | [高危]Windows Update Orchestrator 服务权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17077 | [高危]Windows Update Stack 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17012 | [高危]Windows 绑定筛选器驱动程序特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1325 | [高危]Azure DevOps Server 和 Team Foundation Services 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-17032 | [高危]Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17055 | [高危]Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17027 | [高危]Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17011 | [高危]Windows端口类库特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17083 | [高危]Microsoft Exchange Server 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17033 | [高危]Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17043 | [高危]Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17075 | [高危]Windows USO 核心工作器特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17113 | [高危]Windows Camera Codec 信息泄漏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-17076 | [高危]Windows Update Orchestrator 服务权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17062 | [高危]Windows Office 访问连接引擎远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17025 | [高危]Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17070 | [高危]Windows Update Medic 服务权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17001 | [高危]Windows 打印后台处理程序特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17040 | [高危]Windows Hyper-V 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-17056 | [高危]Windows Network File System | 易利用 | 易利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-17037 | [高危]Windows WalletService 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17090 | [高危]Microsoft Defender for Endpoint | 可利用 | 可利用 | 未公开 | 不存在 | 安全特性绕过 |
| CVE-2020-17081 | [高危]Microsoft Raw Image Extension | 可利用 | 可利用 | 未公开 | 不存在 | 信息泄漏 |
| CVE-2020-17066 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17057 | [高危]Windows Win32k 特权提升漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17084 | [高危]Microsoft Exchange Server 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17034 | [高危]Windows 远程访问特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-1599 | [高危]Windows 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-17047 | [高危]Windows网络文件系统拒绝服务漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 拒绝服务 |
| CVE-2020-17073 | [高危]Windows Update Orchestrator 服务权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16993 | [高危]Azure Sphere 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17091 | [高危]Microsoft Teams 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17068 | [高危]Windows GDI+ 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17063 | [高危]Microsoft Office Online 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-17014 | [高危]Windows 打印后台处理程序特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
0x05 修复建议
通用修补建议
360CERT建议通过安装 360安全卫士 进行一键更新。
应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。
Windows server / Windows 检测并开启 Windows自动更新 流程如下
- 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
- 点击控制面板页面中的“系统和安全”,进入设置。
- 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
- 然后进入设置窗口,展开下拉菜单项,选择其中的
自动安装更新(推荐)。
临时修补建议
通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
2020 年 11 月安全更新 – 发行说明 – 安全更新程序指南 – Microsoft
0x06 产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。 
0x07 时间线
2020-11-10 微软发布安全更新
2020-11-11 360CERT发布通告
0x08 参考链接
0x09 特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
评论