0x00 漏洞概述
北京时间2019年3月14日,微软发布了例行安全更新,修补了Internet Explorer, Edge, Exchange Server, ChakraCore, Windows, Office, NuGet包管理器和.NET Framework等多个产品中的漏洞。这64个CVE中,17个被评为严重(Critical),45个被评为重要(Important),一个被评为中等(Moderate),一个被评为低(Low)。其中四个漏洞被列为public,两个漏洞发布补丁之前已经被攻击者利用。几个比较重要的漏洞详情如下。
CVE-2019-0797:这是卡巴斯基实验室近段时间发现在野外被利用并报告的第四个windows内核0day漏洞,被发现的EXP针对从win8到win10 build 15063的64位系统。卡巴斯基实验室认为这个漏洞被多个APT组织使用,包括但不限于FruityArmor和SandCat。在卡巴斯基的博客中提供了部分技术细节:The fourth horseman: CVE-2019-0797 vulnerability
CVE-2019-0808:这是google发现在野外和chrome 0day漏洞配合做沙箱逃逸用的windows内核0day漏洞,此前360CERT已经发布了预警:CVE-2019-5786:chrome在野利用0day漏洞预警。360核心安全技术中心通过编写代码构造出POC,对漏洞触发过程进行了一些还原,以便安全厂商可以增加相应的防护措施:关于CVE-2019-0808内核提权漏洞的成因分析。该漏洞是一个空指针解引用漏洞,仅能在win7上利用,被发现的EXP针对win7 32位系统。
CVE-2019-0697,CVE-2019-0698,CVE-2019-0726:这是本月修复的三个与DHCP有关的漏洞。国内外有安全研究团队针对上个月修补的DHCP中的CVE-2019-0626发布了技术分析:Windows DHCP Server远程代码执行漏洞分析(CVE-2019-0626);Analyzing a Windows DHCP Server Bug (CVE-2019-0626)。当攻击者向DHCP服务器发送精心设计的数据包并成功利用后,就可以在DHCP服务中执行任意代码。微软发布了针对win10 1803/1809和windows server 2019/1803的补丁。
CVE-2019-0603:该漏洞可能允许攻击者通过特制的TFTP消息执行具有提升的权限的代码。2019年3月6日checkpoint发布了一篇博客披露了2018年11月修复的TFTP中的CVE-2018-8476:PXE Dust: Finding a Vulnerability in Windows Servers Deployment Services。该漏洞类似于CVE-2018-8476,但这个漏洞在TFTP服务的实现中,而不在TFTP协议本身中。windows发布了从win7到win10的多个版本的补丁。
鉴于本月修复的多个漏洞影响严重,部分技术细节公开,360CERT建议广大用户尽快进行修补。
0x01 时间线
2019-03-13 微软发布例行安全更新
2019-03-15 360CERT研判漏洞,发布漏洞预警公告
