微软公司于2017年7月周二补丁日修复了微软产品和服务中50多个漏洞,包括19个关键漏洞以及针对Windows NTLM的重要补丁。
根据Rapid7公司高级安全研究人员Greg Wiseman表示,“本月修复的大多数关键漏洞都涉及客户端系统,其中修复了针对微软Edge浏览器的14个独立的远程代码执行(RCE)问题以及针对IE浏览器的5个问题。3个Adobe Flash Player漏洞其中一个漏洞也得以修复,这也是关键RCE漏洞(CVE-2017-3099)。在修复的54个微软CVE中,33个涉及Edge,14个与IE浏览器有关。”
在本次补丁星期二中解决的最大安全问题之一是CVE-2017-8589,这是Windows Search服务中的漏洞,它可通过Windows服务器消息块(SMB)协议被利用。
“这个漏洞可通过SMB被远程利用以完全控制系统,并可能影响服务器和工作站。这个问题影响到Windows Server 2016、2012、2008 R2、2008以及Windows 10、7和8.1等桌面系统,”Qualys公司产品管理主管Jimmy Graham在一篇博文中写道,“虽然此漏洞可利用SMB作为攻击媒介,但这并不是SMB本身的漏洞,它与最近EternalBlue、WannaCry和Petya利用的SMB漏洞无关。”
Wiseman补充说,这个漏洞“通常需要访问目标计算机”,但由于攻击向量通过SMB协议,使得它变得更加危险。
Windows NTLM漏洞
Tripwire公司安全研究人员Craig Young表示,除了各种重要Windows漏洞外,7月补丁星期二还包括一个针对Windows NT LAN Manger(NTLM)身份验证的修复补丁,这需要企业工作人员的更多关注。
Preempt研究小组发现并向微软报告了两个影响Windows NTLM的漏洞,NTLM是一套传统身份验证协议,在Windows 2000中被Kerberos取代,但NTLM仍然可用以作为Windows身份验证API内向后兼容的一部分。
根据行为身份验证供应商Preempt安全研究人员Yaron Zinar表示,“这些问题特别重要,因为它们可允许攻击者创建新的域管理员账户,即使企业启用了LDAP服务器签名和RDDP受限管理模式等最佳做法控制。”
Young称对付该漏洞需要的不仅仅是补丁。
“对于这个漏洞,值得注意的是,当从Kerberos回退到NTLM身份验证时它允许特权升级,”他表示,“在客户端安装该补丁后,还必须对域控制器进行额外的更改以实际缓解该漏洞。如果没有该补丁,这种缓解将破坏身份验证,而如果不进行额外操作,漏洞仍然会存在。”
Graham称,对于这些Windows NTLM漏洞的担忧是“成功的漏洞利用将允许攻击者访问域控制器,这可让其完全控制受攻击的网络。一般来说,对任何漏洞的协调完全披露是非常好的事情,这个过程有助于提高总体安全性,并使消费者有机会对风险和威胁进行更好的评估。”
端点安全供应商Ivanti产品经理Chris Goettl称,Preempt发现的Windows NTLM漏洞“并不是小问题,但它们可能比实际得到更多炒作”。
“当然,Preempt将利用这一机会作为营销机会,该公司已经进行了研究投资,并获得展示其价值的绝佳机会,”Goettl表示,“据称,在这些更新发布之前,已经有4个公开披露(不是这两个漏洞),这使得攻击者可利用额外的时间以在公司部署补丁之前利用这些漏洞。还有另一个Windows Search漏洞利用可通过SMB被远程利用,其CVSS评分比Preempt提到的漏洞更高。”
其他补丁
专家表示,在7月补丁星期二中还有其他有趣的补丁值得大家关注。
Core Security公司安全研究人员Bobby Kuzma指出针对微软Office的CVE-2017-8570是一个奇怪的漏洞。
“这个漏洞很奇怪,它影响着2013 RT版本的平板电脑和手机,它们是ARM设备(以及32位和64位版本)Office 2007、2010、2013和2016,”Kuzma称,“很少看到如此跨架构的漏洞,这表明这是在普通的中间件层。”
专家还指出CVE-2017-8584值得注意,因为这是微软为其HoloLens耳机发布的第一个补丁。
Kuzma称:“新兴增加现实小工具中的RCE,这说明我们真正生活在未来。”