Microsoft 補丁星期二更新修復了 17 個嚴重漏洞

遠程執行代碼漏洞在本月的警告和補丁安全公告中占主導地位。

微軟在11月補丁星期二發布的安全補丁摘要解決了異常多的遠程代碼執行（RCE）錯誤。微軟的17個關鍵補丁中有12個與RCE漏洞有關。微軟總共修補了112個漏洞，其中93個被評為重要漏洞，兩個漏洞被評為嚴重程度較低。

被跟蹤為CVE-2020-17087，一個Windows內核本地特權提升漏洞被Microsoft標記為已被積極利用。上周，該漏洞由Google Project Zero泄露，該漏洞報告該漏洞與10月20日修補的Google Chrome漏洞（CVE-2020-15999）一起被利用。 微軟將該漏洞(CVE-2020-17087)評為嚴重漏洞，很可能是因為對利用該漏洞感興趣的攻擊者需要物理訪問受該漏洞影響的Windows Server的各種安裝，即Windows 10/RT/8.1/7。根據谷歌的說法，這個漏洞與Windows內核加密驅動程序(cng.sys)處理輸入/輸出控制(IOCTL)的方式有關，而這種方式是常規系統調用無法表達的。

Most Severe

“本周二修補的最關鍵的漏洞之一是CVE-2020-17051，這是Windows的網絡文件系統（NFS）中發現的遠程代碼執行（RCE）漏洞，” Automox信息安全和研究總監Chris Hass寫道，在他星期二的補丁分析中。

他解釋說，該漏洞特別令人擔憂，因為Windows的NFS本質上是一個客戶端/服務器系統，它使用戶可以通過網絡訪問文件并將其視為位于本地文件目錄中。”

您可以想象，利用此服務提供的功能，攻擊者長期以來一直在利用它來訪問關鍵系統。不久之后，我們將在接下來的幾天看到對2049端口的掃描增加，而開發可能會隨之而來。”他寫道。

Automox研究人員還建議SysAdmins為Microsoft的腳本引擎和Internet Explorer中的兩個嚴重的內存損壞漏洞確定補丁的優先級。兩者（CVE-2020-17052，CVE-2020-17053）都可能導致遠程執行代碼。

Hass寫道：“一種可能的攻擊情形是在網上誘騙電子郵件中嵌入一個惡意鏈接，受害者單擊該鏈接即可導致托管該漏洞的受感染登陸頁面。”

從星期二補丁程序中刪除的描述

對于許多星期二的老兵來說，從11月的公告開始，Microsoft便刪除了CVE概述的描述部分，這一點不會引起人們的注意。微軟安全響應中心周一宣布了這種新方法。它描述了對行業標準通用漏洞評分系統（CVSS）的更多依賴，以為Patch Tuesday安全公告提供更通用的漏洞信息。

微軟寫道：“這是一種精確的方法，它利用攻擊向量，攻擊的復雜性，對手是否需要某些特權等屬性來描述漏洞。”

對于“零日行動計劃”的達斯汀·查爾茲（Dustin Childs）而言，這種新方法很有意義。他說，在許多情況下，“準確的CVSS實際上就是您所需要的。畢竟，關于其他SharePoint跨站點腳本（XSS）錯誤或要求您登錄并運行特制程序的本地特權提升，您無言以對。但是，CVSS本身并非完美無缺。”

Tenable的首席安全官Bob Huber并不慷慨。”

微軟決定從星期二的補丁程序中刪除CVE描述信息是一個錯誤的舉動，簡單明了。僅依靠CVSSv3等級，Microsoft消除了許多寶貴的漏洞數據，這些漏洞數據可以幫助組織了解特定漏洞給他們帶來的業務風險，”他寫道。

他認為，這種新格式對安全造成了打擊，并給對手帶來了福音。最終用戶將完全不知道特定CVE如何影響他們。而且，這幾乎不可能確定給定補丁的緊迫性。很難理解最終用戶的收益。”

Huber補充說：“不過，要看到這種新格式對壞演員的好處并不難。他們將對補丁進行反向工程，并且由于Microsoft對漏洞細節不明確，因此優勢發給了攻擊者，而不是防御者。如果沒有這些CVE的適當背景，維護者就很難優先考慮其修復工作。”