解決CVE-2019-1367和CVE-2019-1255

微軟今天發(fā)布了緊急帶外安全更新，以修復兩個關(guān)鍵的安全問題-一個在Internet Explorer腳本引擎中被零日利用的零日漏洞和一個Microsoft Defender錯誤。

這些更新之所以能脫穎而出，是因為Microsoft通常喜歡堅持到底，只在每個月的第二個星期二發(fā)布安全更新。該公司很少打破這種模式，通常僅用于非常重要的安全問題。

這是那些罕見的情況之一，建議Windows用戶盡快安裝今天的更新。IE零時差的修補程序是手動更新，而Defender錯誤將通過無提示更新進行修補。

IE 0day

在這兩個錯誤中，Internet Explorer的“零日”是最重要的一個，主要是因為它已經(jīng)被野外的主動攻擊所利用。

有關(guān)攻擊的詳細信息仍籠罩在神秘之中，Microsoft很少發(fā)布此類詳細信息。我們所知道的是，谷歌威脅分析小組的成員克萊蒙·萊西尼（ClémentLecigne）已將攻擊和零時差報告給了微軟。

這是與Google威脅情報小組相同的團隊，該小組已于今年早些時候檢測到iOS 0天針對中國維吾爾族成員的攻擊。這些攻擊還針對Android和Windows用戶 ; 但是，目前尚不清楚今天修補的IE零日漏洞是否屬于這些攻擊的一部分。

但是我們現(xiàn)在知道的是IE零日漏洞是一個非常嚴重的漏洞。這就是研究人員所說的遠程代碼執(zhí)行（RCE）問題。

根據(jù)微軟的說法，“該漏洞可能以一種攻擊者可以在當前用戶的上下文中執(zhí)行任意代碼的方式來破壞內(nèi)存?！?/p>

微軟說：“成功利用此漏洞的攻擊者可以獲得與當前用戶相同的用戶權(quán)限?！?“如果當前用戶使用管理用戶權(quán)限登錄，則成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)。然后，攻擊者可以安裝程序；查看，更改或刪除數(shù)據(jù)；或者創(chuàng)建具有完整用戶權(quán)限的新帳戶權(quán)利“。

攻擊需要誘使Internet Explorer用戶訪問惡意網(wǎng)站，這是一項微不足道的任務(wù)，因為可以通過多種方法來實現(xiàn)此目的，例如垃圾郵件，IM垃圾郵件，搜索引擎廣告，惡意廣告活動等。

好消息是，根據(jù)StatCounter的說法，Internet Explorer的使用率已下降到1.97％，這意味著容易受到攻擊的用戶數(shù)量很少，并且攻擊范圍應(yīng)非常有限。

使用CVE-2019-1367標識符跟蹤IE的零日活動。如果不能立即應(yīng)用今天的更新，Microsoft 在安全公告中列出了各種保護系統(tǒng)的變通辦法。該安全通報還包含指向手動更新程序包的鏈接，Windows用戶將需要從Microsoft Update Catalog下載這些更新程序并手動在其系統(tǒng)上運行。IE零日補丁將無法通過Windows Update獲得。

MICROSOFT DEFENDER DOS錯誤

今天修復的第二個問題是Microsoft Defender中的一個拒絕服務(wù)（DoS）漏洞，該漏洞以前稱為Windows Defender，它是Windows 8和更高版本（包括廣泛的Windows 10版本）附帶的標準防病毒軟件。

微軟表示，“攻擊者可以利用此漏洞阻止合法帳戶執(zhí)行合法的系統(tǒng)二進制文件?！?/p>

好消息是此錯誤不是一個大問題。要利用此錯誤，攻擊者首先需要訪問受害者的系統(tǒng)并具有執(zhí)行代碼的能力。

該錯誤使威脅參與者可以禁用Microsoft Defender組件的執(zhí)行，但是，如果攻擊者已經(jīng)在受害者的計算機上擁有“執(zhí)行權(quán)”，那么還有許多其他方法可以運行未被發(fā)現(xiàn)的惡意代碼-例如無文件攻擊。

但是，Microsoft已發(fā)布了針對Microsoft Malware Protection Engine（Microsoft Defender防病毒組件）的更新v1.1.16400.2，以解決此問題。

此錯誤的跟蹤記錄為CVE-2019-1255。微軟將此功勞歸功于F-Secure Countercept的Charalampos Billinis和騰訊安全宣武實驗室的Wenxu Wu。