更新未臻完善,Windows Jet資料庫引擎0-Day威懾依舊
- 發布單位:TWCERT/CC
- 更新日期:2019-04-03
- 點閱次數:489
CVE編號
內文
●概述:
光輝十月對Microsoft用戶而言似乎不盡美好,上週少數Windows系統更新造成個人檔案刪除,已令人餘悸猶存,繼此風波後仍有安全更新成效疑慮,因TrendMicro Zero Day Initiative前於9月20日公開Jet Database Engine之0-Day弱點,證實32位元的c:\windows\SysWOW64\wscript.exe執行檔可被惡意檔案poc.js觸發記憶體越界寫入,並導致RCE,惟攻擊者須經釣魚等社交工程,將惡意檔案循email、隨身碟交給受害者點擊,鑒於原始設計瑕疵在msrd3x40.dll動態連結函式庫,9月21日Acros Security提出in-memory為基礎的微修補(micropatch)方案,然而10月官方安全更新同步替換成新版msrd3x40.dll,因加密hash值變更導致micropatch失效,偏偏官方更新不完整,漏洞未徹底根除,Acros Security總裁Mitja Kolsek表示微軟重啟該項漏洞,但亦再度發布本月micropatch以因應上述事態,並在官方有效解決問題之前,保留弱點技術細節不予公開。
●編註:
(1)Jet Database Engine越界寫入缺陷
關於9月20日公開的Jet Database Engine漏洞,係典型的memory corruption,囿於CPU內部分微指令設計瑕疵,執行4-byte資料元件之陣列運算程序時,index值處理不當而產生Out-Of-Bounds例外狀況,資料被異常寫入buffer配置區以外位置,衍生Remote Code Execution。
趨勢ZDI製作poc.js以證實0-Day攻擊可行,然因Jet僅支援32-bit環境,若在64-bit Windows,執行poc.js會回應錯誤訊息,故需要32-bit的c:\windows\SysWOW64\wscript.exe,方可令探勘程式生效,而駭客須經由社交工程提供惡意檔,讓受害者自行開啟,始完成攻擊條件,該項弱點癥結在於動態連結函式庫msrd3x40.dll(版本4.0.9801.0),在微軟10月更新時置換成4.0.9801.5版,然經證實官方修補不完整,僅僅限制漏洞而非徹底根除,意味著駭客仍有方法觸發越界寫入及後續事件。
(2)微修補(micropatch)方案
就Acros Security總裁Mitja Kolsek說法,micropatch屬記憶體內修補技術,有別於官方”模組替換”理念,以能與微軟更新共存,畢竟軟體總有出錯的時候,不必每回都得等一個月,為全球數十億電腦著想,快速的精緻修補,應是優於官方龐大的系統更新量,Acros Security迅速於9月21日在0patch Blog釋出免費micropatch,雖是權宜之計,但很有效地對msrd3x40.dll (4.0.9801.0版)錯誤釜底抽薪,然而10月Microsoft更新後的msrd3x40.dll (4.0.9801.5版),因加密演算hash被變更,故micropatch(9月)失效,等同微軟重啟RCE入口,目前已提供micropatch(10月)二度修補。
影響產品
解決辦法
相關連結
- https://blog.0patch.com/2018/10/patching-re-patching-and-meta-patching.html
- https://www.bleepingcomputer.com/news/security/microsoft-fix-for-windows-jet-database-bug-not-perfec
- https://www.bleepingcomputer.com/news/security/microsoft-fix-for-windows-jet-database-bug-not-perfec
- https://blog.0patch.com/2018/09/outrunning-attackers-on-jet-database.html
- https://www.bleepingcomputer.com/news/security/0day-windows-jet-database-vulnerability-disclosed-by-
- https://www.bleepingcomputer.com/news/security/0day-windows-jet-database-vulnerability-disclosed-by-
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8423
- https://nvd.nist.gov/vuln/detail/CVE-2018-8423
- https://www.securitytracker.com/id/1041837
- https://www.bleepstatic.com/content/posts/2018/10/12/JETDatabaseEngineVuln.jpg