2019年4月微软补丁日多个漏洞预警

0x00 事件背景

2019年04月10日，360CERT监测到微软于4月9日发布了4月份的安全更新。此次安全更新涵盖 Windows 本体以及多个 Windows 的核心组件(Windows,win32k,LUAFV,CSRSS,MSXML,VSScript)的代码执行/权限提升漏洞。

360CERT判断此次更新针对的漏洞影响范围广泛，建议广大用户及时通过 Windows 的安全更新服务及时进行系统升级。以免遭受到黑客攻击以及恶意软件的侵害。

0x01 漏洞详情

一下是较为突出的几个漏洞漏洞描述。完整信息请自行查看参考链接的第一条进行跟进。

CVE-2019-0803, CVE-2019-0859 – Win32k 权限提升漏洞

就像三月一样，有两个类似的漏洞被列在可以被主动攻击的分类下。卡巴斯基实验室再次报告了其中一个漏洞，另一个漏洞来自阿里云情报安全小组。这些漏洞允许攻击者提升权限，并在访问系统后接管该系统。关于这些漏洞是如何被使用还尚未公开，但是可能已有恶意软件附带了针对该漏洞的攻击方式。

CVE-2019-0856 – Windows 远程命令执行漏洞

Windows 安全更新的标题写着远程代码执行，但描述表明攻击者需要登录系统才能利用该漏洞。不管怎样，考虑到它影响所有受支持的 Windows 版本，应当及时应用此补丁。

CVE-2019-0853 – GDI+ 远程命令执行漏洞

针对此漏洞的修补程序修复了 Hossein Lotfi 发现的漏洞，同时一并修复了 Windows GDI+的一个问题。 解析EMF文件记录时会出现该漏洞。特制的EMF文件记录可以触发对未初始化指针的访问，这允许攻击者执行任意代码。 影响到多个微软组件和程序，尤其是操作系统和办公套件这些大规模利用 GDI+ 的组件。

CVE-2019-0793 – MS XML 远程命令执行漏洞

微软XML核心服务MSXML解析器处理用户输入时，存在远程代码执行漏洞。成功利用该漏洞的攻击者可以远程运行恶意代码来控制用户的系统。

CVE-2019-0794 – Windows Vbscript 引擎远程命令执行

攻击者可以托管一个特制的网站，该网站旨在通过浏览器利用该漏洞，通过用户对该网站的访问即可实现对用户电脑的控制。攻击者还可以在IE渲染引擎的应用程序或微软办公文档中嵌入标记为“初始化安全”的ActiveX控件，来触发此漏洞。

CVE-2019-0688 – Windows TCP/IP 信息泄漏漏洞

针对此漏洞的修补程序修复了 Windows 不正确处理碎片化的IP数据包而导致的信息泄露的漏洞。SAS令牌和资源标识等数据可能会泄露给攻击者。IP分片攻击已经存在多年了，Ping of Death和Teardrop就是早期的例子。即使在现代的TCP/IP堆栈中，协议攻击仍然存在。

CVE-2019-0786 – Windows SMB 权限提升漏洞

当具有有效凭据的攻击者试图在一台计算机上通过 SMB 打开特制文件时，可能会触发微软服务器 SMB 中存在的权限提升漏洞。成功利用此漏洞的攻击者可以绕过操作系统中的某些安全检查机制，进而获得该计算机更高级的控制权限。

0x02 修复建议

鉴于本月修复的多个漏洞影响严重，部分技术细节公开，360CERT建议广大用户尽快进行修补。以免遭受到黑客攻击以及恶意软件的侵害。

360CERT建议:

• 通过安装360安全卫士进行一键更新


• 及时进行 Microsoft Windows 版本更新并且保持 Windows 自动更新开启

一键更新方案

0x03 时间线

2019-04-09 微软发布4月安全更新

2019-04-10 360CERT发布预警

0x04 参考链接

1. April 2019 Security Updates


2. Zero Day Initiative — The April 2019 Security Update Review