微软在今年最后一个Patch Tuesday(12/8)修补了58个安全漏洞,其中有9个属于重大(Critical)等级,且并无任何零时差漏洞。
此次的9个重大漏洞中,有3个涉及Microsoft Exchange,两个与Microsoft Dynamics 365 for Finance有关,两个与Microsoft SharePoint有关,另外两个分别出现在Hyper-V与Chakra脚本引擎中,这些漏洞皆可造成远程程序攻击。
被趋势科技Zero Day Initiative(ZDI)团队视为严重漏洞的有CVE-2020-17132、CVE-2020-17121、CVE-2020-17095与CVE-2020-16996,其中除了CVE -2020-16996属于重要(Important)漏洞之外,前三个皆为重大漏洞。
其中,CVE-2020-17132潜藏于Microsoft Exchange中,主要是因为不当验证cmdlet参数所造成的,但黑客必须先通过Microsoft Exchange的身份认证才能展开攻击,微软并未披露该漏洞的攻击场景,但ZDI研究人员揣测,若黑客掌控了某个人的信箱,也许就能掌控整个Exchange服务器。
由于微软此次总计修补了6个Microsoft Exchange漏洞,因此ZDI建议IT管理人员应优先修补Microsoft Exchange的各式漏洞。
至于CVE-2020-17121则存在于SharePoint中,该漏洞允许经过身份认证的用户,以SharePoint Web Application服务的账号,于服务器上执行任意的.NET程序。藏匿在Hyper-V的CVE-2020-17095漏洞,则让黑客可借由传递无效的vSMB封包资料来扩张权限,使其能在Hyper-V主机上执行任意程序,而且看起来于客座操作系统不必特别的权限,就能开采该漏洞。
CVE-2020-17095是此次微软所修补的漏洞中最严重的,其CVSS v3漏洞分数为8.5,但ZDI认为,如果微软对该漏洞的攻击复杂度判断错误,那么它有可能是个9.9分的漏洞。
CVE-2020-16996属于Kerberos协议的安全功能绕过漏洞,微软并未披露该漏洞的细节,但提供了修补该漏洞的指南,透露出它与Kerberos的限制委派(Resource -Based Constrained Delegation,RBCD)功能有关。
微软从今年11月起变更了Patch Tuesday的漏洞披露政策,以往在修补每个漏洞时都会描述可能的攻击场景,不过相关信息已付之阙如。