Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:17822 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
【安全风险通告】奇安信代码安全实验室贡献两枚漏洞,微软1月补丁...
本文来自公众号:奇安信 CERT   2021.01.13 10:28:08


奇安信CERT

致力于 第一时间为企业级用户提供安全风险 通告 有效 解决方案。




通告摘要



本月,微软共发布了83个漏洞的补丁程序,其中,Remote Procedure Call Runtime、Win32k、Microsoft Defender等产品中的10个漏洞被微软官方标记为紧急漏洞。经研判,以下9个漏洞(包括6个紧急漏洞和3个重要漏洞)影响较大,如下所示:CVE-2021-1647、CVE-2021-1658、CVE-2021-1660、CVE-2021-1666、CVE-2021-1667、CVE-2021-1673、CVE-2021-1707、CVE-2021-1709、CVE-2021-1674。


风险通告

本月,微软共发布了83个漏洞的补丁程序,其中,Remote Procedure Call Runtime、Win32k、Microsoft Defender等产品中的10个漏洞被微软官方标记为紧急漏洞。 经研判,以下9个漏洞(包括6个紧急漏洞和3个重要漏洞)影响较大,如下表所示:

CVE编号

风险等级

漏洞名称

利用可能

CVE-2021-1647

紧急

Microsoft Defender 远程代码执行漏洞

N/ Y / D

CVE-2021-1658

紧急

RPC Runtime远程代码执行漏洞

N/N/L

CVE-2021-1660

紧急

RPC Runtime远程代码执行漏洞

N/N/L

CVE-2021-1666

紧急

RPC Runtime远程代码执行漏洞

N/N/L

CVE-2021-1667

紧急

RPC Runtime远程代码执行漏洞

N/N/L

CVE-2021-1673

紧急

RPC Runtime远程代码执行漏洞

N/N/L

CVE-2021-1707

重要

Microsoft SharePoint Server 远程代码执行漏洞

N/N/ M

CVE-2021-1709

重要

Windows Win32k 权限提升漏洞

N/N/ M

CVE- 2021 - 1674

重要

Windows Remote Desktop Protocol核心安全特性绕过漏洞

N/N/L


注:“利用可能”字段包含三个维度(是否公开[Y/N]/是否在野利用[Y/N]/可利用性评估[D/M/L/U/NA])

简写

定义

翻译

Y

Yes

N

No

D

0-Exploitation   detected

0-检测到利用

M

1-Exploitation   more likely *

1-被利用可能性极大

L

2-Exploitation   less likely **

2-被利用可能性一般

U

3-Exploitation   unlikely ***

3-被利用可能性很小

NA

4-N/A

4-不适用


其中,CVE-2021-1647 Microsoft Defender远程代码执行漏洞已发现在野利用,以下2个漏洞被微软标记为“Exploitation More Likely”,这代表这些漏洞更容易被利用:
  • CVE-2021-1707

  • CVE-2021-1709


以下漏洞由奇安信代码安全实验室发现并提交,包括:CVE-2021-1709、CVE-2021-1646。鉴于这些漏洞危害较大,建议客户尽快安装更新补丁。









漏洞描述

本月,微 软共发布83个漏洞的 补丁程序,其中, CVE-2021-1709、CVE-2021-1646漏洞由奇安信代码安全实验室发现并提交。 另外 ,CVE-2021-1647 Microsoft Defender远程代码执行漏洞已发现在野利用,以下2个漏洞被微软标记为“Exploitation More Likely”,这代表这些漏洞更容易被利用:

  • CVE-2021-1707

  • CVE-2021-1709

奇安信CERT对此进行研判,影响较大的9个漏洞(包括6个紧急漏洞和3个重要漏洞)的详细信息如下:

1、CVE-2021-1647 Microsoft Defender远程代码执行漏洞

漏洞名称

Microsoft Defender 远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞I D

CVE-2021-1647

公开状态

未公开

在野利用

已发现

漏洞描述

Microsoft Defender 中存在远程代码执行漏洞,攻击者可通过向目标受害者发送邮件或恶意链接等方式诱导受害者下载攻击者构造的恶意文件,从而使 Defender 在自动扫描时触发该漏洞,最终控制受害者计算机。据官方描述,CVE-2021-1647 目前已发现在野利用。Microsoft Malware Protection Engine 在最新版本中已更新补丁,用户联网可自动更新补丁。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1647

2 、Remote Procedure Call Runtime 远程代码执行漏洞

漏洞名称

Remote Procedure Call Runtime远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

紧急

漏洞I D

详见漏洞描述

公开状态

未公开

在野利用

未发现

漏洞描述

在 Windows 中 RPC(远程过程调用)开启时,存在五个远程代码执行漏洞(CVE-2021-1658、CVE-2021-1660、CVE-2021-1666、CVE-2021-1667、CVE-2021-1673) ,成功利用此漏洞需要网络访问权限及低特权的账户,利用难度较大。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1658

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1660

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1666

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1667

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1673

3 、CVE-2021-1707 Microsoft SharePoint Server 远程代码执行漏洞

漏洞名称

Microsoft SharePoint Server 远程代码执行漏洞

漏洞类型

远程代码执行

风险等级

重要

漏洞I D

CVE-2021-1707

公开状态

未公开

在野利用

未发现

漏洞描述

Microsoft SharePoint服务中存在远程代码执行漏洞(CVE-2021-1707),经过身份认证的攻击者可通过创建SharePoint网站来利用此漏洞,成功利用此漏洞的攻击者可在 SharePoint应用程序池和SharePoint服务器账户的上下文中执行任意代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1707

4 、CVE-2021-1709 Windows Win32k权限提升漏洞

漏洞名称

Windows Win32k 权限提升漏洞

漏洞类型

权限提升

风险等级

重要

漏洞I D

CVE-2021-1709

公开状态

未公开

在野利用

未发现

漏洞描述

Win32k存在一个权限提升漏洞。经过本地身份验证的攻击者可利用此漏洞在目标系统上以完全用户权限执行任意代码。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-1709

5 、CVE-2021-1 674 Windows Remote Desktop Protocol 核心安全特性绕过漏洞

漏洞名称

Windows Remote Desktop Protocol核心安全特性绕过漏洞

漏洞类型

安全特性绕过

风险等级

重要

漏洞I D

CVE-2021-1674

公开状态

未公开

在野利用

未发现

漏洞描述

Windows远程桌面协议(RDP)中存在安全功能绕过漏洞,具有低特权帐户和网络访问权限的攻击者可以进行利用,目前尚无更多细节。

参考链接

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1674



风险等级

奇安信 CERT风险评级为: 高危
风险等级: 蓝色(一般事件)



处置建议

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。

也可以采用以下官方解决方案及缓解方案来防护此漏洞:

Windows 自动更新

Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始 菜单”或按Windows快捷键,点击进入“设置”

2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)

3、选择“检查更新”,等待系统将自动检查并下载可用更新

4、重启计算机,安装更新

系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“ Microsoft 更新目录 ”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的1月补丁并安装:

https://msrc.microsoft.com/update-guide/releaseNote/2021-Jan



产品线解决方案

奇安信天擎终端安全管理系统解决方案

奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2021.01.13.1及以上版本,对内网终端进行补丁更新。

推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2021.01.13.1版本。

控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。

纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。


奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0113.12585或以上版本。规则ID及规则名称:

0x5d93, Microsoft Windows Defender 远程代码执行漏洞(CVE-2021-1647);

0x10020BAC, Microsoft SharePoint Server 远程执行代码漏洞(CVE-2021-1707);

奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该补丁日多个高危漏洞(含Microsoft Defender远程代码执行漏洞(CVE-2021-1647)、Microsoft SharePoint Server远程代码执行漏洞(CVE-2021-1707))的检测能力。对应的规则ID为:6117、6116,建议用户尽快升级检测规则库至2101131422以后版本并启用该多个检测规则。



参考资料

https://msrc.microsoft.com/update-guide/releaseNote/2021-Jan


时间线

2020年1月13日, 奇安信 CERT发布安全风险通告


点击 阅读原文
到奇安信NOX-安全监测平台查询更多漏洞详情





奇安信A-TEAM长期招募安全研究员

↓↓↓向下滑动图片了解更多↓↓↓