Microsoft在112个补丁周二更新中删除了严重的零日修复

在恶意演员中已经积极利用的Windows内核加密驱动程序中的新披露的零点是Microsoft在11月20日修补周二更新中修复的112个独特的常见漏洞和暴露（CVES）。

分配CVE-2020-17087，该错误会影响扩展安全更新（ESU）Windows 7和服务器8到最新的Windows 10 20H2版本，以及有关如何利用它的信息已被广泛分布。

虽然它仅被Microsoft评为重要，但它变得特别危险，因为当用CVE-2020-15999链接时，Google Chrome使用的FreeType 2库中的缓冲区溢出漏洞，可用于逃避Google Chrome的沙箱来提升目标系统的特权。

“链接脆弱性是威胁演员的一个重要策略，”Tenable员工安全研究员Satnam Narang说。

“虽然CVE-2020-15999和CVE-2020-17087在野外被剥夺为零天，但网络安全和基础设施安全局（CISA）上个月发布了一个联合咨询，突出了威胁演员链接了未被包除的脆弱性获得初始访问目标环境并提升特权。

“尽管谷歌和微软现在已经修补了这些缺陷，但组织必须确保他们在威胁演员开始更广泛地利用它们之前应用这些补丁，”他说。

本月的其他更新会影响Windows操作系统，Office和Office 365，Internet Explorer，Edge，Edge Chromium，Microsoft Exchange Server，Microsoft Dynamics，Azure Sphere，Microsoft，Microsoft团队，Azure SDK，Devops，Chakracore和Visual Studio。

“本月为我们提供了112个漏洞的修复，返回上个月较轻下降后今年的正常金额。在这些漏洞中，16个标记为至关重要，87个重要，“Gill Langston，Solarwinds MSP的Head Security Nerd说。

“随着漏洞计数备份100以上100，本月有很多漏洞可以解决。我的推荐是您从上个月开始关键的服务器，然后从上个月开始解决所披露的零天，并且远程可利用的Windows网络文件系统远程执行漏洞，具有9.8个CVSS分数。

“然后将注意力转向Exchange和SharePoint服务器，如果您仍然运行本地版本，则表示，”Langston说。“通过定期宣布这些交换漏洞，您可能需要考虑移动到Microsoft 365，以减少您必须定期关注每个月补丁义务的系统数量。最后，确保您的办公室安装是最新的。“

Automox的信息安全和研究总监Chris Hass突出了一些更关键的漏洞，包括CVE-2020-17051，Windows网络文件系统中的远程代码执行（RCE）漏洞 - 允许用户的客户端/服务器系统访问网络上的文件并将其视为它们驻留在本地文件目录中。

“正如您可以想象的那样，通过这项服务提供的功能，攻击者一直利用它长时间获得对关键系统的访问，”Hass说。“在未来几天我们看到港口扫描港口的扫描不久，这不会很久，很可能在野外的剥削。”

HASS还注意到CVES 2020-17052和-17053，这是一对关键记忆腐败漏洞，可以通过微软的脚本引擎和Internet Explorer提供恶意演员RCE功能。

“虽然这两个漏洞都会影响网络堆栈，但需要用户交互。可能的攻击方案是将受害者点击以导致托管利用的受损的登陆页面嵌入恶意链接。虽然Chrome仍然占据浏览器游戏，但最近的Mozilla裁员微软已经挑选了一些新用户，增加了在那里的活动脆弱浏览器的范围和数量，“他说。

Automox还在Windows打印假脱机程序和Microsoft Raw Image Extension中突出显示RCE缺陷，如图所示。

与此同时，微软在某些季度面临批评，以改变其在新版本的安全更新指南中的描述。微软表示，在改变易于使用常见漏洞评分系统（CVSS）的漏洞中，它表明其对行业标准的承诺。

但是，在进行这一变化时，它已停止提供对漏洞范围的描述，以及如何以及如何利用它的结尾。这提出了眉毛，因为除了培训涉及应用补丁的人训练的人，否则了解原始CVSS数据的安全专业人员 - 这不一定是这种情况 - 它与其队伍评估和优先考虑其修补努力变得更加困难。

Tenable CSO Bob Huber是那些表达担忧的人之一。他说：“通过依靠CVSS v3 v3额定值，微软正在消除大量有价值的脆弱性数据，可以帮助通知业务风险的组织特定缺陷对他们构成。

“通过这种新格式，最终用户完全盲目地对特定CVE影响它们的影响。更重要的是，这使得几乎不可能确定给定补丁的紧迫性。很难理解最终用户的好处。“

另一方面，很清楚，很明显，看出事情的新方法可能实际上会让恶意演员受益。“他们会逆转修补程序，并通过微软没有明确关于漏洞细节，优势进入攻击者，而不是捍卫者。如果没有适当的这些CVES的背景，防守者越来越难以优先考虑他们的修复努力，“他说。