KB4499180:Windows Server 2008 和 Windows Vista SP2 2019 年 5 月安全性更新 (BlueKeep)

critical Nessus Plugin ID 125060
新推出!弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合,藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊: VPR 是什麼?它跟 CVSS 有何不同?

VPR 評分: 9.8

Synopsis

遠端 Windows 主機受到多個弱點影響。

描述

遠端 Windows 主機缺少安全性更新 4499180 或是累積更新 4499149。因此,會受到多個弱點影響:- 當 .NET Framework 與 .NET Core 不當處理 RegEx 字串時存在拒絕服務弱點。成功利用此弱點的攻擊者可以對於 .NET 應用程式造成拒絕服務。未經驗證的遠端攻擊者可透過向 .NET Framework (或 .NET Core) 應用程式發出特製要求以加以惡意利用。更新透過修正 .NET Framework 與 .NET Core 應用程式處理 RegEx 字串處理方式的方式解決該弱點。(CVE-2019-0820) - 當 Microsoft Windows OLE 無法正確驗證使用者輸入時,存在一個遠端程式碼執行弱點。攻擊者可加以惡意利用執行惡意程式碼。(CVE-2019-0885) - 當 Windows Kernel 不當處理金鑰列舉時,存在權限提升弱點。成功利用該弱點的攻擊者可在目標系統上取得提升的權限。經本機驗證的攻擊者可透過執行特製應用程式,來利用此弱點。安全性更新透過協助確保 Windows Kernel 能正確處理金鑰列舉,來解決該弱點。(CVE-2019-0881) - 當 Windows 無法正確處理某些符號連結時,Microsoft Windows 存在權限提升弱點。成功利用此弱點的攻擊者可能會將特定項目設定為在更高層級執行,藉此提升權限。(CVE-2019-0936) - 當 Internet Explorer 不當處理 URL 時存在偽造弱點。成功利用此弱點的攻擊者可以透過將使用者重新導向到特製網站,藉以誘騙使用者。特製網站可以是詐騙內容,或是作為樞紐以將攻擊和網頁服務中其他弱點鏈結在一起。(CVE-2019-0921) - 當 Windows Jet 資料庫引擎不當處理記憶體中的物件時,存在遠端程式碼執行弱點。成功利用此弱點的攻擊者可在受害者系統上執行任意程式碼。攻擊者可引誘受害者開啟特製的檔案,進而加以惡意利用。此更新可透過更正 Windows Jet 資料庫引擎處理記憶體中物件的方式解決此弱點。(CVE-2019-0889、CVE-2019-0890、CVE-2019-0891、CVE-2019-0893、CVE-2019-0894、CVE-2019-0895、CVE-2019-0896、CVE-2019-0897、CVE-2019-0898、CVE-2019-0899、 CVE-2019-0900、CVE-2019-0901、CVE-2019-0902) - 當 .NET Framework 不當處理堆積記憶體中的物件時,存在拒絕服務弱點。成功利用此弱點的攻擊者可以對於 .NET 應用程式造成拒絕服務。(CVE-2019-0864) - 當未經驗證的攻擊者使用 RDP 連線至目標系統並且傳送特製要求時,Remote Desktop Services (舊稱 Terminal Service) 中存在遠端程式碼執行弱點。此弱點為預先驗證,不需使用者互動。成功利用此弱點的攻擊者可在目標系統上執行任意程式碼。攻擊者接下來可以安裝程式、檢視/變更/刪除資料,或是建立具有完整使用者權限的新帳號。(CVE-2019-0708) - 當 Windows GDI 元件不當洩漏其記憶體的內容時,存在資訊洩漏弱點。成功利用此弱點的攻擊者可以取得資訊以進一步危害使用者系統。攻擊者可以有多種方式惡意利用弱點,諸如誘騙使用者開啟特製文件或是誘騙使用者造訪未受信任的網頁。安全性更新透過修正 Windows GDI 元件處理記憶體中物件的方式解決該弱點。(CVE-2019-0758、CVE-2019-0882、CVE-2019-0961) - 當 Internet Explorer 不當處理記憶體中的物件時存在資訊洩漏弱點。成功利用此弱點的攻擊者可以取得資訊以進一步危害使用者系統。(CVE-2019-0930) - 當攔截式攻擊者能夠成功使用 Kerberos 解碼及取代驗證要求時,Microsoft Windows 中有一個權限提升弱點,攻擊者可以取得管理員驗證。此更新透過變更這些要求的驗證方式來因應此弱點。(CVE-2019-0734) - 當 .NET Framework 或 .NET Core 不當處理 web 要求時存在拒絕服務弱點。成功利用此弱點的攻擊者可以對 .NET Framework 或 .NET Core 網路應用程式造成拒絕服務。攻擊者可以在沒有驗證的情況下,從遠端加以惡意利用。未經驗證的遠端攻擊者可透過向 .NET Framework 或 .NET Core 應用程式發出特製要求以加以惡意利用。此更新透過修正 .NET Framework 或 .NET Core 網路應用程式處理網路要求的方式解決此弱點。(CVE-2019-0980、CVE-2019-0981) - Windows 圖形裝置介面 (GDI) 處理記憶體中物件的方式存在一個遠端程式碼執行弱點。成功利用此弱點的攻擊者可控制受影響的系統。攻擊者接下來可以安裝程式、檢視/變更/刪除資料,或是建立具有完整使用者權限的新帳號。(CVE-2019-0903) - 指令碼引擎在 Microsoft 瀏覽器中處理記憶體中物件的方式存在遠端程式碼執行弱點。攻擊者可以在目前使用者的內容中執行任意程式碼,該弱點能夠藉此等方式損毀記憶體。成功利用此弱點的攻擊者可取得與目前使用者相同的使用者權限。(CVE-2019-0884、CVE-2019-0918)

解決方案

套用僅限安全性更新 KB4499180 或累積更新 KB4499149。

另請參閱

http://www.nessus.org/u?221b2bbc

http://www.nessus.org/u?15faa0a8

Plugin 詳細資訊

嚴重性: Critical

ID: 125060

檔案名稱: smb_nt_ms19_may_4499149.nasl

版本: 1.11

類型: local

代理程式: windows

已發布: 2019/5/14

已更新: 2021/2/5

相依性: smb_check_rollup.nasl, smb_hotfixes.nasl, ms_bulletin_checks_possible.nasl

風險資訊

風險因素: Critical

VPR 評分: 9.8

CVSS 評分資料來源: CVE-2019-0708

CVSS v2.0

基本分數: 10

時間分數: 8.7

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:H/RL:OF/RC:C

CVSS v3.0

基本分數: 9.8

時間分數: 9.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:H/RL:O/RC:C

弱點資訊

CPE: cpe:/o:microsoft:windows

必要的 KB 項目: SMB/MS_Bulletin_Checks/Possible

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2019/5/14

弱點發布日期: 2019/5/14

惡意利用途徑

CANVAS (CANVAS)

Core Impact

Metasploit (CVE-2019-0708 BlueKeep RDP Remote Windows Kernel Use After Free)

參考資訊

CVE: CVE-2019-0708, CVE-2019-0734, CVE-2019-0758, CVE-2019-0820, CVE-2019-0864, CVE-2019-0881, CVE-2019-0882, CVE-2019-0884, CVE-2019-0885, CVE-2019-0889, CVE-2019-0890, CVE-2019-0891, CVE-2019-0893, CVE-2019-0894, CVE-2019-0895, CVE-2019-0896, CVE-2019-0897, CVE-2019-0898, CVE-2019-0899, CVE-2019-0900, CVE-2019-0901, CVE-2019-0902, CVE-2019-0903, CVE-2019-0918, CVE-2019-0921, CVE-2019-0930, CVE-2019-0936, CVE-2019-0961, CVE-2019-0980, CVE-2019-0981

MSKB: 4499180, 4499149

MSFT: MS19-4499180, MS19-4499149