微软补丁日: RDP Client/Excel/SharePoint 远程代码执行漏洞预警

360-CERT 2019-09-12

0x00 漏洞背景

2019年09月11日，微软例行发布了9月份的安全更新。此次安全更新主要涵盖了,Windows, IE, Edge浏览器, ChakraCore, Office 服务, Skype, Visual Studio, .NET Framework, Exchange Server, Microsoft Yammer, Team Foundation Server。总计包含80个 CVE，17个高危漏洞，62个中危漏洞。

其中较为突出的是

3 个本地权限提升漏洞
RDP Client 远程代码执行漏洞
SharePoint 远程代码执行漏洞
Excel 远程代码执行漏洞

360CERT判断此次安全更新针对的漏洞影响面广，部分漏洞已被用于攻击利用。

建议广大用户及时更新系统并安装windows补丁，以免遭受攻击。

0x01 漏洞详情

CVE-2019-1215 – Windows Winsock2集成文件系统本地权限提升漏洞

Winsock2集成文件系统层(ws2ifsl.sys)中的本地权限提升(LPE)。利用此漏洞的攻击者可以从普通用户级别提升到管理员级别。微软报告称，这个漏洞正被广泛的利用。同时这个文件在过去一直是恶意软件的攻击目标，攻击历史可以追溯到2007年。

CVE-2019-1214 – Windows 通用日志文件系统驱动程序本地权限提升漏洞

这个漏洞是在通用日志文件系统(CLFS)驱动程序中。攻击者可以从普通用户级别提升到有管理级别。

CVE-2019-1289 – Windows 更新交付优化组件本地权限提升漏洞

Windows Update Delivery Optimization (WUDO)，是Windows 10 增加的一款新功能组件。该组件旨在通过让电脑从网络上已经下载更新的其他对等方获取更新来减少网络带宽的占用。本地攻击者可以利用此漏洞覆盖他们通常无权访问的文件。这就直接的导致了本地权限提升。

CVE-2019-1257 – Microsoft SharePoint 远程代码执行漏洞

该漏洞是 SharePoint 三个关键的反序列化漏洞之一。攻击者可以将特特制的 SharePoint 应用程序包上传至受影响的服务器。这就会在使得恶意代码在服务器上被执行。

CVE-2019-0787/CVE-2019-0788/CVE-2019-1290/CVE-2019-1291 Windows RDP 客户端远程代码执行漏洞

这4个漏洞均是等级为 Critical (严重) 的漏洞。此系列漏洞不同于5月的BlueKeep漏洞（CVE-2019-0708）、8月的DejaBlue漏洞（CVE-2019-1181/1182）。该系列漏洞是出现在客户端的漏洞。需要受害者连接到恶意的服务器才会触发远程代码执行。没有之前漏洞那样的可传播性和广泛性。但仍然是严重的安全隐患。

CVE-2019-1208/CVE-2019-1236 VBScript 远程代码执行漏洞

VBScript是微软开发的一种脚本语言，可以看作是VB语言的简化版，与Visual Basic for Applications的关系也非常密切。它具有原语言容易学习的特性。当前这种语言广泛应用于网页和ASP程序制作，同时还可以直接作为一个可执行程序。

此漏洞细节尚未公开。

CVE-2019-1280 LNK 远程代码执行漏洞

该系列漏洞总是引起广泛的关注。该系漏洞是一个微软Windows系统处理LNK文件过程中发生的远程代码执行漏洞。当存在漏洞的电脑被插上存在病毒木马的U盘时，不需要任何额外操作，漏洞攻击程序就可以借此完全控制用户的电脑系统。该漏洞也可能籍由用户访问网络共享、从互联网下载、拷贝文件等操作被触发和利用攻击。

漏洞可以在以下任一条件下触发：

1、系统开启U盘自动播放功能，插入U盘，漏洞触发 2、通过网络共享访问该文件目录 3、直接访问该文件目录

此漏洞细节尚未公开。

CVE-2019-1233 Exchange 拒绝服务漏洞

Microsoft Exchange Server是微软公司的一套电子邮件服务组件。除传统的电子邮件的存取、储存、转发作用外，在新版本的产品中亦加入了一系列辅助功能，如语音邮件、邮件过滤筛选和OWA（基于Web的电子邮件存取）。Exchange Server支持多种电子邮件网络协议，如SMTP、NNTP、POP3和IMAP4。Exchange Server能够与微软公司的活动目录完美结合。

该漏洞通过攻击者发送一封特质恶意的邮件即可关闭受影响的服务器，而无需用户交互。

此漏洞细节尚未公开。