微軟發(fā)布帶外安全更新 以修復(fù)IE零日錯誤

微軟今天發(fā)布了一個緊急的帶外安全更新，以解決兩個關(guān)鍵的安全問題-InternetExplorer腳本引擎中的零天漏洞（已在野外被利用）和Micros of tDefenderbug。

這些更新非常突出，因為微軟通常喜歡堅持下去，只在每個月的第二個星期二發(fā)布安全更新。該公司很少打破這種模式，而且通常只針對非常重要的安全問題。

這是一個罕見的場合，并建議Windows用戶盡快安裝今天的更新。IE零日補(bǔ)丁是一個手動更新，而防御程序錯誤將通過一個無聲的更新補(bǔ)丁。

在這兩個錯誤中，InternetExplorer零日是最重要的一個，主要是因為它已經(jīng)在野外的活動攻擊中被利用。

有關(guān)攻擊的細(xì)節(jié)仍然籠罩在神秘之中，微軟很少發(fā)布這樣的細(xì)節(jié)。我們所知道的是，這些攻擊和零日已經(jīng)由谷歌威脅分析小組成員克萊門特·萊西涅（Clement Lecigne）向微軟報告。

今年早些時候，這個谷歌威脅情報小組發(fā)現(xiàn)了iOS零天攻擊中國維吾爾社區(qū)成員的行為。這些攻擊也是針對Android和Windows用戶的；然而，目前還不清楚今天安裝的IE零日補(bǔ)丁是否是這些攻擊的一部分。

但我們現(xiàn)在知道的是，IE零日是一個非常嚴(yán)重的漏洞。這就是研究人員所說的遠(yuǎn)程代碼執(zhí)行（RCE）問題。

根據(jù)微軟的說法，“該漏洞會破壞內(nèi)存，攻擊者可以在當(dāng)前用戶的上下文中執(zhí)行任意代碼?！?/p>

“成功利用該漏洞的攻擊者可能獲得與當(dāng)前用戶相同的用戶權(quán)限，”Microsoft說?！叭绻?dāng)前用戶以管理用戶權(quán)限登錄，成功利用該漏洞的攻擊者可以控制受影響的系統(tǒng)。然后攻擊者可以安裝程序；查看、更改或刪除數(shù)據(jù)；或創(chuàng)建具有完全用戶權(quán)限的新帳戶。”

攻擊需要在惡意網(wǎng)站上引誘InternetExplorer用戶，這是一項相當(dāng)瑣碎的任務(wù)，因為它可以通過垃圾郵件、IM垃圾郵件、搜索引擎廣告、惡意廣告活動等各種方法來實現(xiàn)。

好消息是，根據(jù)Stat Counter的說法，InternetExplorer的使用率已降至1.97%的市場份額，這意味著易受攻擊的用戶數(shù)量相當(dāng)少，攻擊的范圍應(yīng)該相當(dāng)有限。

用CVE-2019-1367標(biāo)識符跟蹤IE零日。在一份安全咨詢中，微軟列出了各種保護(hù)系統(tǒng)的方法，如果今天的更新不能立即應(yīng)用的話。安全咨詢還包含手動更新包的鏈接，Windows用戶將需要從Micros of tUpdate Catalog下載并在他們的系統(tǒng)上手動運(yùn)行。該補(bǔ)丁的IE零日將無法通過Windows更新。

今天解決的第二個問題是微軟衛(wèi)士（Micros of t Defender）的拒絕服務(wù)（DoS）漏洞，前者被稱為Windows Defender，這是一種帶有Windows8及以后版本的標(biāo)準(zhǔn)防病毒，包括廣泛的Windows10版本。

根據(jù)Microsoft的說法，“攻擊者可以利用該漏洞來阻止合法帳戶執(zhí)行合法的系統(tǒng)二進(jìn)制文件?！?/p>

好消息是這個bug不是什么大問題。要利用此漏洞，攻擊者首先需要訪問受害者的系統(tǒng)并具有執(zhí)行代碼的能力。

該漏洞允許威脅參與者禁用Microsoft Defender組件的執(zhí)行，但如果攻擊者已經(jīng)在受害者的計算機(jī)上擁有“執(zhí)行權(quán)限”，那么還有許多其他方式可以不被檢測到運(yùn)行惡意代碼--例如無文件攻擊。

然而，微軟已經(jīng)發(fā)布了更新v1.11640.2到微軟惡意軟件保護(hù)引擎，微軟衛(wèi)士殺毒的一個組成部分，以解決這個問題。

這個bug被跟蹤為CVE-2019-1255。微軟將這一問題的發(fā)現(xiàn)歸功于F-安全防御部門的Charalampos Billinis和騰訊安全宣武實驗室的吳文旭。