2020-10 补丁日：微软多个产品高危漏洞安全风险通告

0x01 事件简述

2020年10月14日，360CERT监测发现微软官方发布了 10月份的风险通告，事件等级：严重，事件评分： 10 。

此次安全更新发布了 87 个漏洞的补丁，主要涵盖了 Windows操作系统、IE/Edge浏览器、Office 组件及Web Apps、Exchange服务器、.Net 框架、Azure DevOps、Windows 编码解码器。其中包括 11 个严重漏洞， 75 个高危漏洞。

本次安全更新存在1个漏洞等级为严重且易利用的WindowsTCP/IP漏洞，以及存在6个信息公开的漏洞

对此，360CERT建议广大用户及时将 Windows各项组件升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x02 风险等级

360CERT对该事件的评定结果如下

评定方式
等级

威胁等级
严重

影响面
广泛

360CERT评分
10

0x03 漏洞详情

CVE-2020-16898: Windows TCP/IP 远程代码执行漏洞

Windows TCP/IP 堆栈不当处理 ICMPv6 Router Advertisement 数据包时，存在一处远程执行代码漏洞。

远程攻击者通过构造特制的数据包并发送到受影响的主机，成功利用此漏洞的攻击者可在目标主机上执行任意代码，并控制该主机。

CVE-2020-16947: Microsoft Outlook 远程代码执行漏洞

Microsoft Outlook 软件无法正确处理内存中的对象时，存在一处远程代码执行漏洞。

远程攻击者通过构造特制的邮件内容发送到使用Outlook 的用户，成功利用此漏洞的攻击者可在目标主机上执行任意代码，并控制该主机。

CVE-2020-16891: Windows Hyper-V 远程执行代码漏洞

Windows Hyper-V 无法正确验证虚拟操作系统上经身份验证的用户的输入时，存在一处远程执行代码漏洞。

远程攻击者通过构造特制的二进制程序，并诱使用户在 Hyper-V 虚拟系统中打开，成功利用此漏洞的攻击者可在绕过Hyper-V在Windows主系统上执行任意代码，并控制该主机。

CVE-2020-16909: Windows 错误报告组件特权提升漏洞

Windows 错误报告 (WER)组件在处理和执行文件时，存在一处特权提升漏洞。

远程攻击者通过构造特制的二进制程序，并诱使用户打开，成功利用此漏洞的攻击者可获得更高的用户权限，并控制该主机。

微软标记该漏洞信息已经公开，ZDI标识该漏洞已存在在野利用

0x04 漏洞影响

已利用>易利用>可利用>难利用

编号
描述
新版可利用性
历史版本可利用性
公开状态
在野利用
导致结果

CVE-2020-17003
[严重]Base3D 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16898
[严重]Windows TCP/IP 远程代码执行漏洞
易利用
易利用
未公开
不存在
远程代码执行

CVE-2020-16968
[严重]Windows 摄像头编解码器远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16951
[严重]Microsoft SharePoint 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16952
[严重]Microsoft SharePoint 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16915
[严重]Windows Media Foundation组件损坏漏洞
可利用
可利用
未公开
不存在
内存破坏

CVE-2020-16891
[严重]Windows Hyper-V 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16967
[严重]Windows 摄像头编解码器远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16911
[严重]GDI 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16947
[严重]Microsoft Outlook 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16923
[严重]Microsoft 图形组件远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16938
[高危]Windows 内核信息泄漏漏洞
可利用
可利用
已公开
不存在
信息泄漏

CVE-2020-16901
[高危]Windows 内核信息泄漏漏洞
可利用
可利用
已公开
不存在
信息泄漏

CVE-2020-16909
[高危]Windows 错误报告组件特权提升漏洞
可利用
可利用
已公开
不存在
权限提升

CVE-2020-16937
[高危].NET Framework 信息泄漏漏洞
可利用
可利用
已公开
不存在
信息泄漏

CVE-2020-16908
[高危]Windows 安装程序特权提升漏洞
可利用
可利用
已公开
不存在
权限提升

CVE-2020-16885
[高危]Windows 存储 VSP 驱动程序特权提升漏洞
可利用
可利用
已公开
不存在
权限提升

CVE-2020-16946
[高危]Microsoft Office SharePoint
可利用
可利用
未公开
不存在
跨站脚本攻击

CVE-2020-16894
[高危]Windows NAT 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16886
[高危]PowerShellGet 模块 WDAC 安全功能绕过漏洞
可利用
可利用
未公开
不存在

CVE-2020-16934
[高危]Microsoft Office 即点即用特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16955
[高危]Microsoft Office 即点即用特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16920
[高危]Windows 应用程序兼容性客户端库特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16976
[高危]Windows 备份服务特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16944
[高危]Microsoft SharePoint Reflective
可利用
可利用
未公开
不存在
跨站脚本攻击

CVE-2020-16928
[高危]Microsoft Office 即点即用特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16900
[高危]Windows 事件系统特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16930
[高危]Microsoft Excel 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16877
[高危]Windows 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16913
[高危]Win32k 特权提升漏洞
易利用
易利用
未公开
不存在
权限提升

CVE-2020-16914
[高危]Windows GDI+ 信息泄漏漏洞
可利用
可利用
未公开
不存在
信息泄漏

CVE-2020-16921
[高危]Windows 文本服务框架信息泄漏漏洞
可利用
可利用
未公开
不存在
信息泄漏

CVE-2020-1167
[高危]Microsoft 图形组件远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16941
[高危]Microsoft SharePoint 信息泄漏漏洞
可利用
可利用
未公开
不存在
信息泄漏

CVE-2020-16995
[高危]适用于 Linux 的网络观察程序代理虚拟机扩展特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16933
[高危]Microsoft Word 安全功能绕过漏洞
可利用
可利用
未公开
不存在

CVE-2020-1047
[高危]Windows Hyper-V 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16907
[高危]Win32k 特权提升漏洞
易利用
易利用
未公开
不存在
权限提升

CVE-2020-16922
[高危]Windows 欺骗漏洞
易利用
易利用
未公开
不存在
欺骗攻击

CVE-2020-16977
[高危]Visual Studio Code Python 扩展程序远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16974
[高危]Windows 备份服务特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16942
[高危]Microsoft SharePoint 信息泄漏漏洞
可利用
可利用
未公开
不存在
信息泄漏

CVE-2020-16950
[高危]Microsoft SharePoint 信息泄漏漏洞
可利用
可利用
未公开
不存在
信息泄漏

CVE-2020-16935
[高危]Windows COM Server 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16939
[高危]组策略特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-1243
[高危]Windows Hyper-V 拒绝服务漏洞
可利用
可利用
未公开
不存在
拒绝服务

CVE-2020-1080
[高危]Windows Hyper-V 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16940
[高危]Windows – User Profile Service 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16924
[高危]Jet 数据库引擎远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16897
[高危]NetBT 信息泄漏漏洞
可利用
可利用
未公开
不存在
信息泄漏

CVE-2020-16957
[高危] Windows Office 访问连接引擎远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16904
[高危]Azure 功能特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16969
[高危]Microsoft Exchange 信息泄漏漏洞
可利用
可利用
未公开
不存在
信息泄漏

CVE-2020-16902
[高危]Windows 程序安装组件特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16912
[高危]Windows 备份服务特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16954
[高危]Microsoft Office 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16905
[高危]Windows 错误报告组件特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16927
[高危]Windows 远程桌面协议 (RDP) 拒绝服务漏洞
可利用
可利用
未公开
不存在
拒绝服务

CVE-2020-16975
[高危]Windows 备份服务特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16899
[高危]Windows TCP/IP 拒绝服务漏洞
易利用
易利用
未公开
不存在
拒绝服务

CVE-2020-16910
[高危]Windows 安全功能绕过漏洞
可利用
可利用
未公开
不存在

CVE-2020-0764
[高危]Windows 存储服务特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16918
[高危]Base3D 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16892
[高危]Windows 映像特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16887
[高危]Windows 网络连接服务权限提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16945
[高危]Microsoft Office SharePoint
可利用
可利用
未公开
不存在
跨站脚本攻击

CVE-2020-16953
[高危]Microsoft SharePoint 信息泄漏漏洞
可利用
可利用
未公开
不存在
信息泄漏

CVE-2020-16890
[高危]Windows 内核特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16896
[高危]Windows 远程桌面协议 (RDP) 信息泄漏漏洞
易利用
易利用
未公开
不存在
信息泄漏

CVE-2020-16948
[高危]Microsoft SharePoint 信息泄漏漏洞
可利用
可利用
未公开
不存在
信息泄漏

CVE-2020-16916
[高危]Windows COM Server 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16931
[高危]Microsoft Excel 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16876
[高危]Windows 应用程序兼容性客户端库特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16972
[高危]Windows 备份服务特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16929
[高危]Microsoft Excel 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16936
[高危]Windows 备份服务特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16932
[高危]Microsoft Excel 远程代码执行漏洞
可利用
可利用
未公开
不存在
远程代码执行

CVE-2020-16889
[高危]Windows KernelStream 信息泄漏漏洞
可利用
可利用
未公开
不存在
信息泄漏

CVE-2020-16943
[高危]Dynamics 365 Commerce 特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16863
[高危]Windows 远程桌面服务拒绝服务漏洞
可利用
可利用
未公开
不存在
拒绝服务

CVE-2020-16973
[高危]Windows 备份服务特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

CVE-2020-16980
[高危]Windows iSCSI 目标服务特权提升漏洞
可利用
可利用
未公开
不存在
权限提升

0x05 修复建议

通用修补建议

360CERT建议通过安装 360安全卫士进行一键更新。

应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

Windows server / Windows 检测并开启 Windows自动更新流程如下

点击开始菜单，在弹出的菜单中选择“控制面板”进行下一步。
点击控制面板页面中的“系统和安全”，进入设置。
在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
然后进入设置窗口，展开下拉菜单项，选择其中的自动安装更新（推荐）。

临时修补建议

通过如下链接自行寻找符合操作系统版本的漏洞补丁，并进行补丁下载安装。

October 2020 Security Updates

0x06 产品侧解决方案

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段，对该类漏洞的利用进行实时检测和阻断，请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对本次安全更新，Windows用户可通过360安全卫士实现对应补丁安装，其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测，以做好资产自查以及防护工作。

0x07 时间线

2020-10-13 微软发布安全更新

2020-10-14 360CERT发布通告

0x08 参考链接

October 2020 Security Updates
Zero Day Initiative — The October 2020 Security Update Review

0x09 特制报告下载链接

一直以来，360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务，现360CERT正式推出安全通告特制版报告，以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

2020-10 补丁日: 微软多个产品高危漏洞安全风险通告若有订阅意向与定制需求请发送邮件至 g-cert-report@360.cn ，并附上您的公司名、姓名、手机号、地区、邮箱地址。

文章原文链接:https://www.anquanke.com/post/id/219490