0x01 漏洞简述
2020年12月09日,360CERT监测发现 微软官方 发布了 12月安全更新 的风险通告,事件等级: 严重 ,事件评分:9.8 。
此次安全更新发布了 58 个漏洞的补丁,主要涵盖了以下组件: Windows操作系统、IE/Edge浏览器、ChakraCore、Office办公套件、Exchange Server、Azure、微软动态、Visual Studio 。其中包括 9 个严重漏洞, 46 个高危漏洞。
对此,360CERT建议广大用户及时将 Windows操作系统及相关组件 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该漏洞的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 严重 |
| 影响面 | 广泛 |
| 360CERT评分 | 9.8 |
0x03 漏洞详情
CVE-2020-17132: 代码执行漏洞
由于Exchange对cmdlet参数的验证不正确,Microsoft Exchange服务器中存在一个远程执行代码漏洞。
成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。
利用此漏洞需要拥有以某个Exchange角色进行身份验证的用户权限。该漏洞与`CVE-2020-16875`相似
CVE-2020-17121: 代码执行漏洞
SharePoint中存在一处远程代码执行漏洞。
经过身份验证的攻击者通过发送特制请求包,可在SharePoint Web应用中执行任意.NET代码。
CVE-2020-16996: 验证绕过漏洞
Kerberos 验证流程中存在一处安全特性绕过漏洞。
该漏洞影响RBCD流程,具体影响尚未公开。
CVE-2020-17095: 代码执行漏洞
Hyper-V中存在一处代码执行漏洞,该漏洞可造成虚拟环境逃逸。
远程攻击通过在Hyper-V虚拟环境中运行特制的二进制程序与宿主使用vSMB通信,可造成在宿主系统中执行任意代码。
0x04 影响版本
已利用>易利用>可利用>难利用
| 编号 | 描述 | 新版可利用性 | 历史版本可利用性 | 公开状态 | 在野利用 | 导致结果 |
|---|---|---|---|---|---|---|
| CVE-2020-17142 | [严重]Microsoft Exchange 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17118 | [严重]Microsoft SharePoint 远程代码执行漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17131 | [严重]Chakra 脚本引擎内存损坏漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 内存破坏 |
| CVE-2020-17121 | [严重]Microsoft SharePoint 远程代码执行漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17095 | [严重]Hyper-V 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17132 | [严重]Microsoft Exchange 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17152 | [严重]Microsoft Dynamics 365 for Finance and Operations(本地)远程代码执行漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17158 | [严重]Microsoft Dynamics 365 for Finance and Operations(本地)远程代码执行漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17117 | [严重]Microsoft Exchange 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16996 | [高危]Kerberos 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-17134 | [高危]Windows Cloud Files Mini Filter Driver 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17002 | [高危]Azure SDK for C 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-17122 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17097 | [高危]Windows Digital Media Receiver 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16971 | [高危]Azure SDK for Java 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-17148 | [高危]Visual Studio Code Remote Development 扩展程序远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16962 | [高危]Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17129 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17144 | [高危]Microsoft Exchange 远程代码执行漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17159 | [高危]Visual Studio Code Java 扩展程序包远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17145 | [高危]Azure DevOps Server 和 Team Foundation Services 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-17139 | [高危]Windows 覆盖筛选器安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-17156 | [高危]Visual Studio 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17135 | [高危]Azure DevOps Server 欺骗漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 欺骗攻击 |
| CVE-2020-17130 | [高危]Microsoft Excel 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-17125 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17124 | [高危]Microsoft PowerPoint 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16964 | [高危]Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17123 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17092 | [高危]Windows 网络连接服务权限提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17127 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16961 | [高危]Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17141 | [高危]Microsoft Exchange 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17136 | [高危]Windows Cloud Files Mini Filter Driver 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17096 | [高危]Windows NTFS 远程代码执行漏洞 | 易利用 | 易利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16960 | [高危]Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17137 | [高危]DirectX 图形内核特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17099 | [高危]Windows 锁屏安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-17103 | [高危]Windows Cloud Files Mini Filter Driver 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16958 | [高危]Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17089 | [高危]Microsoft SharePoint 特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-16959 | [高危]Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
| CVE-2020-17160 | [高危]Azure Sphere 安全功能绕过漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | |
| CVE-2020-17150 | [高危]Visual Studio Code 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-17128 | [高危]Microsoft Excel 远程代码执行漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 远程代码执行 |
| CVE-2020-16963 | [高危]Windows 备份引擎特权提升漏洞 | 可利用 | 可利用 | 未公开 | 不存在 | 权限提升 |
0x05 修复建议
通用修补建议
360CERT建议通过安装
进行一键更新。
应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。
Windows server / Windows 检测并开启 Windows自动更新 流程如下
– 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
– 点击控制面板页面中的“系统和安全”,进入设置。
– 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
– 然后进入设置窗口,展开下拉菜单项,选择其中的 自动安装更新(推荐) 。
临时修补建议
通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
2020 年 12 月安全更新 – 发行说明 – 安全更新程序指南 – Microsoft
0x06 产品侧解决方案
360城市级网络安全监测服务
360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。
360安全卫士
针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
0x07 时间线
2020-12-08 微软发布安全更新
2020-12-09 360CERT发布通告
0x08 参考链接
2020 年 12 月安全更新 – 发行说明 – 安全更新程序指南 – Microsoft
THE DECEMBER 2020 SECURITY UPDATE REVIEW
0x09 特制报告下载链接
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。
若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
评论