微软周二例行安全更新:修复四个远程桌面漏洞,但还有一个CTF协议漏洞没有对应补丁
微软在例行的周二安全更新中修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作。编号为 CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226,漏洞影响 Windows 7、8 和 10,以及 Server 2008、2012、2016 和 2019。同时Gooogle Project Zero安全团队的研究员Tavis Ormandy报告了一个微软CTF协议的漏洞,影响XP以来的所有Windows版本。
图源:Unsplash
编号为CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和CVE-2019-1226的漏洞允许未经授权的攻击者通过发送特制信息执行任意代码。它们可以利用它们的特性将恶意软件从一台易受攻击的计算机传播到另一台,而无需任何用户操作,就像2017年自我复制的WannaCry和NotPetya爆发一样。漏洞影 Windows 7、8和10,以及Server 2008、2012、2016和2019。
未经身份验证的攻击者可以通过在已知保护时发送特制邮件来执行恶意代码正如在大型组织中经常进行的那样,关闭网络级别身份验证,类似于微软在5月份修补的所谓BlueKeep漏洞,但这些漏洞能够影响最新的Windows系统,而不仅仅像BlueKeep影响旧版本的系统。一个缓解措施是“启用NLA并为所有外部和内部系统启用它”,但启用NLA并不能完全防御攻击,打开NLA显着增加了需求,设法获取网络凭据的攻击者仍然可以利用这些漏洞来执行他们选择的代码,因为漏洞可以完全绕过RDS本身内置的身份验证机制。
而Google Project Zero安全团队的研究员Tavis Ormandy报告,微软鲜为人知的CTF协议存在漏洞,很被容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何Windows的普通权限或高权限应用,从而接管整个操作系统。
图源:ArsTechnica
CTF代表什么,Ormandy和发现错误协议的人没有查到,它是Windows Text Services Framework (Windows文本服务框架,TSF) 的一部分,用于管理Windows或Windows应用程序内的文本展示。当用户启动一个应用,Windows会启动一个CTF客户端,这个客户端会从一个CTF服务器接收有关操作系统语言和键盘输入方法的指令。如果操作系统输入法从一种语言切换到另一种语言, CTF服务器会通知所有CTF客户端,实时改变每个Windows应用程序中的语言。
漏洞在于CTF服务器和客户端之间通信是不安全的,没有正确的身份验证和恰当的保护,没有访问控制。攻击者可以劫持另一个应用的CTF会话,伪装成服务器向客户端发送命令。攻击者可以使用此漏洞从其他应用程序窃取数据,或者他们可以使用它来发布这些应用程序名称中的命令。如果应用运行在高权限上,攻击者可以控制整个操作系统。根据Ormandy的说法,任何应用程序或Windows进程都可以争夺。由于CTF的作用 - 在任何应用程序或服务中显示文本 - Windows操作系统上的所有内容和每个用户界面元素都有一个CTF会话。
图源:ZDnet
漏洞影响到XP以来的所有Windows版本,微软告诉ZDNet网站,他们已经把CTF协议漏洞和修复程序跟踪为CVE-2019-1162,目前不清楚微软是否或何时会释出补丁。
补丁详细信息页面,点击跳转:CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226