KB4534309: Windows 8.1 與 Windows Server 2012 R2 的 2020 年 1 月安全性更新

critical Nessus Plugin ID 132863

Synopsis

遠端 Windows 主機受到多個弱點影響。

描述

遠端 Windows 主機缺少安全性更新 4534309 或是累積更新 4534297。因此,此類應用程式受到多個弱點影響:

- Windows Search Indexer 處理記憶體中之物件的方式存在一個權限提高弱點。成功利用該弱點的攻擊者可以憑藉提升的權限執行程式碼。(CVE-2020-0613、CVE-2020-0614、CVE-2020-0623、CVE-2020-0625、CVE-2020-0626、CVE-2020-0627、CVE-2020-0628、CVE-2020-0629、CVE-2020-0630、CVE-2020-0631、CVE-2020-0632)

- 當未經驗證的攻擊者使用 RDP 連線至目標系統並傳送特別建構的要求時,Windows Remote Desktop Gateway (RD 閘道) 中存在遠端程式碼執行弱點。此弱點為預先驗證,不需使用者互動。成功利用此弱點的攻擊者可在目標系統上執行任意程式碼。攻擊者接下來可以安裝程式、檢視/變更/刪除資料,或是建立具有完整使用者權限的新帳號。(CVE-2020-0609、CVE-2020-0610)

- 當 Windows 一般記錄檔系統 (CLFS) 驅動程式無法正確處理記憶體中的物件時,存在一個資訊洩漏弱點。成功惡意利用此弱點的攻擊者有可能會讀取本不打算洩漏的資訊。請注意,攻擊者將無法利用此弱點執行程式碼或是直接提升其使用者權限,但是可以利用此弱點取得資訊,進而嘗試利用該資訊進一步危害受影響的系統。(CVE-2020-0615、CVE-2020-0639)

- 當 Win32k 元件無法正確處理記憶體中的物件時,Windows 中存在權限提高弱點。成功惡意利用此弱點的攻擊者可在核心模式中執行任意程式碼。之後,攻擊者可安裝程式、
檢視、變更或刪除資料,或是建立具有完整使用者權限的新帳戶。(CVE-2020-0642)

- 當 Remote Desktop Web Access 未正確處理認證資訊時,存在資訊洩漏弱點。成功惡意利用此弱點的攻擊者可取得合法使用者的認證。(CVE-2020-0637)

- Windows Graphics Device Interface Plus (GDI+) 處理記憶體中物件的方式存在資訊洩漏弱點,進而使攻擊者能夠從目標系統擷取資訊。資訊洩漏本身不允許任意程式碼執行;但是如果攻擊者使用此弱點並且結合其他弱點,則其可允許執行任意程式碼。(CVE-2020-0643)

- 當 Internet Explorer 不當存取記憶體中的物件時,存在遠端程式碼執行弱點。
攻擊者可以在目前使用者的內容中執行任意程式碼,該弱點能夠藉此等方式損毀記憶體。成功利用此弱點的攻擊者可取得與當前使用者相同的使用者權限。。(CVE-2020-0640)

- 當 Windows 無法正確處理某些符號連結時,Microsoft Windows 中存在權限提高弱點。成功利用此弱點的攻擊者可能會將某些項目設定為在更高層級執行,藉此提升權限。(CVE-2020-0635)

- 當 win32k 元件不當提供核心資訊時,存在資訊洩漏弱點。
成功利用該弱點的攻擊者可以取得資訊以進一步入侵使用者系統。(CVE-2020-0608)

- 當 Microsoft Cryptographic Services 未正確處理檔案時,存在權限提高弱點。攻擊者可利用此弱點覆寫或修改受保護的檔案,進而導致權限提升。(CVE-2020-0620)

- 當 Windows 一般記錄檔系統 (CLFS) 驅動程式不當處理記憶體中的物件時,存在一個權限提高弱點。成功惡意利用此弱點的攻擊者可在提升的內容中執行處理程序。(CVE-2020-0634)

- Windows Media Service 中存在允許在任意位置中建立檔案的權限提高弱點。(CVE-2020-0641)

- Microsoft Graphics Components 處理記憶體中物件的方式存在資訊洩漏弱點。成功利用該弱點的攻擊者可以取得有助於進一步利用的資訊。(CVE-2020-0607)

- 當使用者連線至惡意伺服器時,Windows Remote Desktop Client 中存在一個遠端程式碼執行弱點。若惡意利用此弱點得逞,攻擊者即可在相連用戶端的電腦上執行任意程式碼。攻擊者接下來可以安裝程式、檢視/變更/刪除資料,或是建立具有完整使用者權限的新帳號。
(CVE-2020-0611)

- 當 Microsoft Windows 實作可預測的記憶體區段名稱時,存在權限提高弱點。成功惡意利用此弱點的攻擊者可以系統的身分執行任意程式碼。攻擊者接下來可以安裝程式、檢視/變更/刪除資料,或是建立具有完整使用者權限的新帳號。(CVE-2020-0644)

解決方案

僅會在更新 KB4534309 或是累積更新 KB4534297 中套用安全性。

另請參閱

https://support.microsoft.com/en-us/help/4534297/windows-8-1-kb4534297

https://support.microsoft.com/en-us/help/4534309/windows-8-1-kb4534309

Plugin 詳細資訊

嚴重性: Critical

ID: 132863

檔案名稱: smb_nt_ms20_jan_4534297.nasl

版本: 1.10

類型: local

代理程式: windows

已發布: 2020/1/14

已更新: 2020/8/7

支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure

風險資訊

VPR

風險因素: Critical

分數: 9

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 8.7

媒介: AV:N/AC:L/Au:N/C:C/I:C/A:C

時間媒介: E:H/RL:OF/RC:C

CVSS 評分資料來源: CVE-2020-0646

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 9.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: E:H/RL:O/RC:C

弱點資訊

CPE: cpe:/o:microsoft:windows

必要的 KB 項目: SMB/MS_Bulletin_Checks/Possible

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2020/1/14

弱點發布日期: 2020/1/14

惡意利用途徑

Metasploit (SharePoint Workflows XOML Injection)

參考資訊

CVE: CVE-2020-0607, CVE-2020-0608, CVE-2020-0609, CVE-2020-0610, CVE-2020-0611, CVE-2020-0613, CVE-2020-0614, CVE-2020-0615, CVE-2020-0620, CVE-2020-0623, CVE-2020-0625, CVE-2020-0626, CVE-2020-0627, CVE-2020-0628, CVE-2020-0629, CVE-2020-0630, CVE-2020-0631, CVE-2020-0632, CVE-2020-0634, CVE-2020-0635, CVE-2020-0637, CVE-2020-0639, CVE-2020-0640, CVE-2020-0641, CVE-2020-0642, CVE-2020-0643, CVE-2020-0644

MSKB: 4534297, 4534309

MSFT: MS20-4534297, MS20-4534309

IAVA: 2020-A-0026