0x00 漏洞背景

2019年09月11日，微軟例行發(fā)布了9月份的安全更新。此次安全更新主要涵蓋了,Windows, IE, Edge瀏覽器, ChakraCore, Office 服務(wù), Skype, Visual Studio, .NET Framework, Exchange Server, Microsoft Yammer, Team Foundation Server?？傆?jì)包含80個(gè) CVE，17個(gè)高危漏洞，62個(gè)中危漏洞。

其中較為突出的是

• 3 個(gè)本地權(quán)限提升漏洞
• RDP Client 遠(yuǎn)程代碼執(zhí)行漏洞
• SharePoint 遠(yuǎn)程代碼執(zhí)行漏洞
• Excel 遠(yuǎn)程代碼執(zhí)行漏洞

360CERT判斷此次安全更新針對的漏洞影響面廣，部分漏洞已被用于攻擊利用。

建議廣大用戶及時(shí)更新系統(tǒng)并安裝windows補(bǔ)丁，以免遭受攻擊。

0x01 漏洞詳情

CVE-2019-1215 – Windows Winsock2集成文件系統(tǒng)本地權(quán)限提升漏洞

Winsock2集成文件系統(tǒng)層(ws2ifsl.sys)中的本地權(quán)限提升(LPE)。利用此漏洞的攻擊者可以從普通用戶級別提升到管理員級別。微軟報(bào)告稱，這個(gè)漏洞正被廣泛的利用。同時(shí)這個(gè)文件在過去一直是惡意軟件的攻擊目標(biāo)，攻擊歷史可以追溯到2007年。

CVE-2019-1214 – Windows 通用日志文件系統(tǒng)驅(qū)動(dòng)程序本地權(quán)限提升漏洞

這個(gè)漏洞是在通用日志文件系統(tǒng)(CLFS)驅(qū)動(dòng)程序中。攻擊者可以從普通用戶級別提升到有管理級別。

CVE-2019-1289 – Windows 更新交付優(yōu)化組件本地權(quán)限提升漏洞

Windows Update Delivery Optimization (WUDO)，是Windows 10 增加的一款新功能組件。該組件旨在通過讓電腦從網(wǎng)絡(luò)上已經(jīng)下載更新的其他對等方獲取更新來減少網(wǎng)絡(luò)帶寬的占用。本地攻擊者可以利用此漏洞覆蓋他們通常無權(quán)訪問的文件。這就直接的導(dǎo)致了本地權(quán)限提升。

CVE-2019-1257 – Microsoft SharePoint 遠(yuǎn)程代碼執(zhí)行漏洞

該漏洞是 SharePoint 三個(gè)關(guān)鍵的反序列化漏洞之一。攻擊者可以將特特制的 SharePoint 應(yīng)用程序包上傳至受影響的服務(wù)器。這就會(huì)在使得惡意代碼在服務(wù)器上被執(zhí)行。

CVE-2019-0787/CVE-2019-0788/CVE-2019-1290/CVE-2019-1291 Windows RDP 客戶端遠(yuǎn)程代碼執(zhí)行漏洞

這4個(gè)漏洞均是等級為 Critical (嚴(yán)重) 的漏洞。此系列漏洞不同于5月的BlueKeep漏洞（CVE-2019-0708）、8月的DejaBlue漏洞（CVE-2019-1181/1182）。該系列漏洞是出現(xiàn)在客戶端的漏洞。需要受害者連接到惡意的服務(wù)器才會(huì)觸發(fā)遠(yuǎn)程代碼執(zhí)行。 沒有之前漏洞那樣的可傳播性和廣泛性。但仍然是嚴(yán)重的安全隱患。

CVE-2019-1208/CVE-2019-1236 VBScript 遠(yuǎn)程代碼執(zhí)行漏洞

VBScript是微軟開發(fā)的一種腳本語言，可以看作是VB語言的簡化版，與Visual Basic for Applications的關(guān)系也非常密切。它具有原語言容易學(xué)習(xí)的特性。當(dāng)前這種語言廣泛應(yīng)用于網(wǎng)頁和ASP程序制作，同時(shí)還可以直接作為一個(gè)可執(zhí)行程序。

此漏洞細(xì)節(jié)尚未公開。

CVE-2019-1280 LNK 遠(yuǎn)程代碼執(zhí)行漏洞

該系列漏洞總是引起廣泛的關(guān)注。該系漏洞是一個(gè)微軟Windows系統(tǒng)處理LNK文件過程中發(fā)生的遠(yuǎn)程代碼執(zhí)行漏洞。 當(dāng)存在漏洞的電腦被插上存在病毒木馬的U盤時(shí)，不需要任何額外操作，漏洞攻擊程序就可以借此完全控制用戶的電腦系統(tǒng)。 該漏洞也可能籍由用戶訪問網(wǎng)絡(luò)共享、從互聯(lián)網(wǎng)下載、拷貝文件等操作被觸發(fā)和利用攻擊。

漏洞可以在以下任一條件下觸發(fā)：

1、系統(tǒng)開啟U盤自動(dòng)播放功能，插入U(xiǎn)盤，漏洞觸發(fā) 2、通過網(wǎng)絡(luò)共享訪問該文件目錄 3、直接訪問該文件目錄

此漏洞細(xì)節(jié)尚未公開。

CVE-2019-1233 Exchange 拒絕服務(wù)漏洞

Microsoft Exchange Server是微軟公司的一套電子郵件服務(wù)組件。除傳統(tǒng)的電子郵件的存取、儲(chǔ)存、轉(zhuǎn)發(fā)作用外，在新版本的產(chǎn)品中亦加入了一系列輔助功能，如語音郵件、郵件過濾篩選和OWA（基于Web的電子郵件存?。?。Exchange Server支持多種電子郵件網(wǎng)絡(luò)協(xié)議，如SMTP、NNTP、POP3和IMAP4。Exchange Server能夠與微軟公司的活動(dòng)目錄完美結(jié)合。

該漏洞通過攻擊者發(fā)送一封特質(zhì)惡意的郵件即可關(guān)閉受影響的服務(wù)器，而無需用戶交互。

此漏洞細(xì)節(jié)尚未公開。

CVE-2019-1240/CVE-2019-1241/CVE-2019-1242/CVE-2019-1243 Jet 數(shù)據(jù)庫引擎遠(yuǎn)程代碼執(zhí)行漏洞

Microsoft Jet是微軟針對文件型數(shù)據(jù)庫所發(fā)展的數(shù)據(jù)庫引擎（Database Engine），它的適用數(shù)據(jù)源種類相當(dāng)多，像是Microsoft Access、Microsoft Excel、dBase等等文件型數(shù)據(jù)源都可以利用

Microsoft Jet數(shù)據(jù)庫引擎來使用SQL指令訪問。

JET數(shù)據(jù)庫引擎和windows捆綁在一起，并且被多個(gè)windows產(chǎn)品所使用。

此漏洞細(xì)節(jié)尚未公開。

CVE-2019-1297 Excel 遠(yuǎn)程代碼執(zhí)行漏洞

Microsoft Excel是Microsoft為使用Windows和Apple Macintosh操作系統(tǒng)的計(jì)算機(jī)編寫的一款電子表格軟件。

此漏洞細(xì)節(jié)尚未公開。

0x02 修復(fù)建議

應(yīng)及時(shí)進(jìn)行Microsoft Windows版本更新并且保持Windows自動(dòng)更新開啟，也可以通過下載參考鏈接中的軟件包，手動(dòng)進(jìn)行升級。

用戶可以通過下載參考鏈接中的軟件包，手動(dòng)進(jìn)行升級。

windows server / windows 檢測并開啟Windows自動(dòng)更新流程如下

• 點(diǎn)擊開始菜單，在彈出的菜單中選擇“控制面板”進(jìn)行下一步！
• 點(diǎn)擊控制面板頁面中的“系統(tǒng)和安全”，進(jìn)入設(shè)置。
• 在彈出的新的界面中選擇“windows update”中的“啟用或禁用自動(dòng)更新”。
• 然后進(jìn)入到了設(shè)置窗口了，可以看到其中的下拉菜單項(xiàng)，打開下拉菜單項(xiàng)，選擇其中的自動(dòng)安裝更新（推薦）。

0x03 時(shí)間線

2019-09-11 微軟官方發(fā)布安全公告

2019-09-11 360CERT發(fā)布預(yù)警

0x04 參考鏈接

1. September 2019 Security Updates
2. Security Update Guide