报告编号:B6-2019-010903

报告来源:360-CERT

报告作者:360-CERT

更新日期:2019-01-09

0x00 漏洞背景

2019年1月08日,微软定时发布的安全更新中涵盖了针对多个远程代码执行高危漏洞的修复

  • Microsoft Exchange软件的内存破坏导致远程代码执行,漏洞编号CVE-2019-0586。
  • Microsoft Word 内存破坏导致远程代码执行, 漏洞编号CVE-2019-0585。
  • Windows DHCP 客户端无法正确处理DHCP响应包时,内存破坏导致远程代码执行,漏洞编号CVE-2019-0547。

0x01 漏洞详情

  • Microsoft Exchange

当Microsoft Exchange软件无法正确处理内存中的对象时,该软件存在远程代码执行漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。以至于攻击者可以安装程序,查看、更改或删除数据,或者创建新帐户。

利用此漏洞需要攻击者向易受攻击的Exchange服务器发送经过精心构建的恶意电子邮件。

安全更新通过纠正Microsoft Exchange处理内存中的对象的方式来解决此漏洞。

  • Microsoft Word

当微软Word软件无法正确处理内存中的文件时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以使用特制文件在当前用户的上下文中执行操作。例如,打开该文件后攻击者可以拥有与当前用户相同的权限,并执行相关操作。

利用此漏洞需要用户点击并打开攻击者精心构造的恶意文档。

安全更新通过纠正Microsoft Word处理内存中的文件的方式来解决此漏洞。

  • Windows DHCP Client

Windows DHCP 客户端无法正确处理DHCP响应包时,存在内存破坏漏洞,可以导致远程代码执行。攻击者可以通过伪造DHCP响应包,攻击Windows客户端,造成内存破坏,如果攻击者成功利用此漏洞,则可以在客户端计算机运行任意代码。

0x02 影响版本

Microsoft Exchange

  • Microsoft Exchange Server 2016 Cumulative Update 10
  • Microsoft Exchange Server 2016 Cumulative Update 11
  • Microsoft Exchange Server 2019

Microsoft Word

  • Microsoft Office 2010 Service Pack 2 (32-bit editions)
  • Microsoft Office 2010 Service Pack 2 (64-bit editions)
  • Microsoft Office 2016 for Mac
  • Microsoft Office 2019 for 32-bit editions
  • Microsoft Office 2019 for 64-bit editions
  • Microsoft Office 2019 for Mac
  • Microsoft Office Online Server
  • Microsoft Office Web Apps Server 2010 Service Pack 2
  • Microsoft Office Word Viewer
  • Microsoft SharePoint Enterprise Server 2013 Service Pack 1
  • Microsoft SharePoint Enterprise Server 2016
  • Microsoft SharePoint Server 2019
  • Microsoft Word 2010 Service Pack 2 (32-bit editions)
  • Microsoft Word 2010 Service Pack 2 (64-bit editions)
  • Microsoft Word 2013 RT Service Pack 1
  • Microsoft Word 2013 Service Pack 1 (32-bit editions)
  • Microsoft Word 2013 Service Pack 1 (64-bit editions)
  • Microsoft Word 2016 (32-bit edition)
  • Microsoft Word 2016 (64-bit edition)
  • Office 365 ProPlus for 32-bit Systems
  • Office 365 ProPlus for 64-bit Systems
  • Word Automation Services

Windows DHCP Client

  • Windows 10 Version 1803 for 32-bit Systems
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1803 for x64-based Systems
  • Windows Server, version 1803 (Server Core Installation)

0x03 修复建议

360CERT建议

  • 及时进行Microsoft Windows版本更新并且保持Windows自动更新开启

用户可以通过下载参考链接中的软件包,手动进行升级。

windows server / windows 检测并开启Windows自动更新流程如下

  • 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步!
  • 点击控制面板页面中的“系统和安全”,进入设置。
  • 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
  • 然后进入到了设置窗口了,可以看到其中的下拉菜单项,打开下拉菜单项,选择其中的自动安装更新(推荐)。

0x04 时间线

2019-01-08 微软发布安全更新及漏洞预警

2019-01-09 360CERT发布预警

0x05 参考链接

CVE-2019-0586 | Microsoft Exchange Memory Corruption Vulnerability

CVE-2019-0547 | Windows DHCP Client Remote Code Execution Vulnerability

CVE-2019-0585 | Microsoft Word Remote Code Execution Vulnerability

声明:本文来自360CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。