评估2014年5月安全更新的风险
今天,我们发布了八个安全公告,解决了13个独特的CVE漏洞。其中两个公告的最高严重性评级为“关键”,其余六个为“重要”。下表旨在帮助您根据环境优先部署更新。
| 公告 | 最可能的攻击向量 | 最高公告严重性 | 最高可利用性 | 前30天可能的影响 | 平台缓解措施和关键说明 |
|---|---|---|---|---|---|
| MS14-029 (IE) | 受害者浏览恶意网页 | 关键 | 1 | 可能继续看到利用CVE-2014-1815的漏洞利用 | 此更新包括对CVE-2014-1776的修复,最初于5月1日通过MS14-021带外安全更新解决。但MS14-029不是累积安全更新。请先安装最新的IE累积安全更新,再应用此更新。 |
| MS14-024 (公共控件) | 受害者打开恶意RTF文档 | 重要 | n/a | 仅安全功能绕过,不太可能直接用于代码执行 | 此漏洞已被用作野外漏洞利用的ASLR绕过,涉及以下CVE:CVE-2012-0158、CVE-2012-1856、CVE-2013-3906、CVE-2014-1761。安装此更新将防止此控件在未来任何潜在漏洞利用中用作ASLR绕过。 |
| MS14-025 (组策略首选项) | 攻击者已入侵域加入工作站,利用该访问权限查询组策略首选项,可能发现混淆的域账户凭据 | 重要 | 1 | 可能继续看到攻击者使用此“后利用”技术在企业网络中横向移动 | 安全更新防止该功能未来被使用,但需要管理员采取行动删除先前存储且仍可用的密码。此问题及预防滥用方法在SRD博客文章中有详细描述。 |
| MS14-027 (Shell) | 攻击者已以低权限用户身份在机器上运行代码,利用调用ShellExecute的高权限进程提升低权限进程 | 重要 | 1 | 在有限数量的商品恶意软件样本中发现使用。可能继续看到恶意软件尝试利用此漏洞从低权限提升到高权限 | 在以下恶意软件家族中观察到,每个都已被Microsoft反恶意软件产品阻止:Backdoor:Win32/Koceg、Backdoor:Win32/Optixpro.T等(完整列表见原文)。 |
| MS14-022 (SharePoint) | 攻击者能够将任意内容上传到SharePoint服务器,可能以SharePoint服务账户上下文运行代码 | 关键 | 1 | 可能在未来30天内出现可靠漏洞利用 | 攻击者必须被授予上传内容到SharePoint服务器的访问权限才能触发漏洞。尽管具有可利用性,我们通常未看到此类漏洞被广泛利用。 |
| MS14-023 (Office) | 攻击者诱骗受害者以某种方式验证Microsoft在线服务,以便捕获身份验证令牌并由攻击者重放 | 重要 | 1 | 可能在未来30天内出现可靠漏洞利用 | 除了令牌重放漏洞,此更新还解决了涉及中文语法检查器DLL的DLL预加载问题。我们最近发布更新文档,涵盖保护应用程序免受此类攻击的最佳方法。 |
| MS14-026 (.NET Framework) | 利用.NET Remoting功能开发的自定义应用程序可能授予攻击代码执行访问权限,以响应特制数据 | 重要 | 1 | 可能在未来30天内出现可靠漏洞利用 | .NET Remoting功能很少使用,主要仅与基于.NET Framework版本2编写的应用程序一起使用。 |
| MS14-028 (iSCSI) | 攻击者能够到达iSCSI端点,可能对Windows主机造成持久资源耗尽拒绝服务攻击 | 重要 | 3 | 仅拒绝服务,无直接代码执行机会 |
- Jonathan Ness, MSRC工程团队
攻击向量
- 恶意网页浏览
- 恶意文档打开
- 域凭据查询
- 权限提升利用
- 服务器内容上传
- 身份验证令牌重放
- .NET Remoting数据利用
- iSCSI端点拒绝服务
缓解措施
- 安装累积安全更新
- 移除存储的密码
- 应用反恶意软件保护
- 限制服务器上传权限
- 使用身份验证最佳实践
- 避免使用过时.NET功能
- 保护iSCSI端点访问
风险评估
- 关键漏洞可能被持续利用
- 重要漏洞可能在未来30天内出现可靠利用
- 部分漏洞仅导致拒绝服务或功能绕过,无代码执行风险