| CVE編號 | CVE-2018-0791,CVE-2018-0793,CVE-2018-0794,CVE-2018-0797,CVE-2018-0798,CVE-2018-0801,CVE-2018-0802,CVE-2018-0804,CVE-2018-0805,CVE-2018-0806,CVE-2018-0807,CVE-2018-0812,CVE-2018-0795,CVE-2018-0796,CVE-2018-0792,CVE-2018-0789,CVE-2018-0790,CVE-2018-0799,CVE-2018-0786,CVE-2018-0764,CVE-2018-0741,CVE-2018-0800,CVE-2018-0767,CVE-2018-0780,CVE-2018-0778,CVE-2018-0758,CVE-2018-0762,CVE-2018-0768,CVE-2018-0769,CVE-2018-0770,CVE-2018-0772,CVE-2018-0773,CVE-2018-0774,CVE-2018-0775,CVE-2018-0776,CVE-2018-0777,CVE-2018-0781,CVE-2018-0753,CVE-2018-0752,CVE-2018-0751,CVE-2018-0750,CVE-2018-0749,CVE-2018-0748,CVE-2018-0747,CVE-2018-0746,CVE-2018-0745 |
|---|---|
| 影響產品 | Windows 7、8.1、10/Windows Server 2008、2012、2016/SharePoint Server 2010、2013、2016/Internet Explorer 9、10、11/Edge/Office 2007、2010、2013、2013RT、2016/Office Web Apps 2010、2013 |
| 解決辦法 | 考量微軟更新後可能影響,使用者請建立系統還原點或快照映像檔,再啟用更新,或參考官方下載中心https://support.microsoft.com/en-us/help/20180109/security-update-deployment-information-january-9-2018 |
| 張貼日 | 2018-01-15 |
| 上稿單位 | TWCERT/CC |
●概述:
Microsoft本月修補多款軟體數十項漏洞,主流作業系統因Kernel、IPSec等Object記憶體處理錯誤,恐引發作業系統DoS,且經由特製應用程式觸發Linux之Windows次系統漏洞、伺服器訊息區塊同類漏洞,即可在本機擴張權力而執行代碼;至於瀏覽器亦有記憶體處理瑕疵,亦受遠端惡意資料造成RCE,尤其Edge上PDF Reader及bypass跨domain安全限制兩者均會暴露隱密資訊;開發工具ASP.NET有輸入驗證弱點,可能發生Cross-Site Request Forgery和XSS,較特別者係Microsoft .NET相關元件無法鑑別certificate有效性,使駭客漠視Enhanced Key Usage tagging,而能運用禁止功能;至於多組SharePoint輸入驗證缺陷,包含Design view編輯介面內Image欄位,均允許駭客利用目標瀏覽器執行script碼,甚至假借受害者身分操作SharePoint;最後OFFICE有大量Memory Corruption漏洞,其一與去年11月方程式編輯器原理相關,皆採Office或WordPad、Outlook開啟惡意檔案內容,導致RCE攻擊,另有Spoofing漏洞使惡性email地址之編碼暨顯示失常,讓反垃圾郵件功能失效,然社交工程為前置性攻擊;微軟釋出相關軟體安全更新,然請優先建立系統還原點或快照映像檔,避免意外。
●編註:
(1)OS共同漏洞
(1-1)IPSec Object記憶體處理錯誤被遠端送來的變造資料觸發後,受害系統將停止回應。
(1-2)數起本機擴權執行任意程式事件,皆循特製應用程式手法伺機引發,如觸發Kernel記憶體處理錯誤後取得Kernel級權力、適用Linux之Windows次系統被觸發整數溢位而提權、以及伺服器訊息區塊(SMB,Server Message Block)被利用而bypass安全檢查,亦可升級權限。
(1-3)在本機執行特製應用程式,探勘Windows圖形裝置介面GDI+,從而獲得Kernel記憶體位址資訊。
(1-4)駭客針對在色彩管理模組(Color Management Module)相關動態連結函式庫ICM32.dll,於本機執行特製應用程式以觸發Object記憶體處理錯誤,所獲隱密訊息能用來繞過使用者模式下隨機配置資料位址(ASLR,Address Space Layout Randomization)之保護機制,另有多項Kernel元件具有相似瑕疵能外洩系統資訊。
(1-5)多項Kernel應用程式介面(API)許可權缺失,致使攻擊者變造應用程式並蓄意觸發,且能模擬系統程序,注入跨程序連線資料或干擾系統功能。
(1-6)由於微軟內管理Adobe Type字型驅動程式ATMFD.dll出現弱點,本機操作者開啟檔案只要內含加工字型,即造成物件記憶體處理異常,而竊取機要資料。
(2)瀏覽器弱點
(2-1)因Internet Explorer與Edge俱存相同記憶體異常處理瑕疵,被遠端送來惡意內容引發後,駭客遂能執行任意代碼,同質性瑕疵亦發生在標註為” safe for initialization”的ActiveX控制元件上,若其他AP如同Office有browser轉譯引擎則有機會受攻擊。至於Edge另有多種Object記憶體處理錯誤可能導致任意碼執行。
(2-2)同樣地觸發Edge上PDF Reader或其他程序記憶體處理漏洞,可能讓遠距駭客獲得隱私資料。
(2-3)Edge獨有之漏洞,讓遠端攻擊者迴避跨domain安全限制而取得資料。
(3)多組SharePoint輸入驗證缺陷
囿於未能完善過濾使用者填入HTML code,遠距駭客利用受害者瀏覽器執行script碼,使code在SharePoint站台運作,便能取得有關cookie、近期提交之表單資料,甚至假借受害者身分操作。類似攻擊手法亦可用於Design view編輯介面內Image欄位。
(4)開發工具
(4-1)在ASP.NET出現輸入驗證弱點,允許遠端攻擊者以假造HTML網頁檔或URL,令受害者載入後可冒其身分操作介面,發起跨站請求偽冒(Cross-Site Request Forgery)攻擊,使用有漏洞版本之專案範本所開發之Web應用程式,均繼承漏洞。
(4-2)另有一ASP.NET輸入驗證瑕疵,囿於未能完善過濾使用者填入HTML code,遠距駭客利用受害者瀏覽器執行script碼,使code在SharePoint站台運作,實施Cross-Site Scripting,便能取得有關cookie、近期提交之表單資料,甚至假借受害者身分操作。
(4-3)Microsoft .NET處理加工後XML資料,將導致Dos。
(4-4)於Microsoft .NET架構中,相關元件無法鑑別certificate有效性,針對某用途已標註為無效之憑證,仍然視作有效處理,此缺失使駭客漠視Enhanced Key Usage tagging,而達成遭禁止用途。
(5)OFFICE
(5-1)在各版OFFICE均有為數不少的漏洞涉及Memory Corruption,其前置攻擊皆屬社交工程,只要謹慎應可避免後續事件,大抵而言,駭客製作RTF及他類惡意檔案,騙受害者開啟時執行Office或者WordPad程式,就觸發Object記憶體處理錯誤,而遭遠端執行任意代碼,部分漏洞尚能令受害者權限被借用,若剛巧受害者是管理員,危害層面遽增。
據研究其中CVE-2018-0802漏洞與去年11月所發布方程式編輯器(EQNEDT32.EXE)原理相關,應屬out-of-process COM server,無法受DEP(Data Execution Prevention)和ASLR(Address space layout randomization)保護,不能隨機配置資料位址且額外檢查惡意程式碼,過去數月已有駭客組織鎖定此漏洞。
(5-2)唯獨Office 2016 (for MAC)此版本存在Spoofing缺陷,起因於惡性email附件讓編碼暨顯示email地址之運算失常,故能呈現不實地址,讓防毒及反垃圾郵件功能無法發揮效果,當然前提還是社交工程要奏效。
(5-3)多版Outlook解析郵件功能異常,若來信包含惡意內容,會被收信者載入執行造成RCE情境,然Office 2016 (for MAC)無此困擾。