Microsoft 釋出 2 月份 Windows 更新緊急修補
Microsoft 的 Windows 作業系統再有安全漏洞,消息指今次被發現的包括了 Microsoft Edge 到 Azure IoT SDK 等各種產品的 70 多個安全漏洞,當中約有 20 個屬於 “critical”級別,最嚴重的問題為 Internet Explorer 中的 “zero-day” 漏洞,據稱已遭駭客利用,相關的 Windows 更新已在日前釋出。
據了解,Microsoft 本月的 Windows 更新解決了一些對企業的顯著威脅,當中包括 Exchange Server、Visual Studio、Azure IoT SDK、Microsoft Dynamics、Team Foundation Server、Visual Studio Code等程式中存在的漏洞,同時亦有為終端用戶解決包括 Adobe Flash Player 和 Microsoft Office 的關鍵更新,以及 Internet Explorer中的“zero-day”漏洞。
是次被發現最為嚴重的是Google 發現在 Internet Explorer 存在的“zero-day” 漏洞,編號為「CVE-2019-0676」的 Internet Explorer 資訊洩漏弱點,Microsoft 指出,當 Internet Explorer 不當處理記憶體中的物件時,即存在資訊洩漏弱點,成功利用此弱點的攻擊者,可以測試磁碟上是否有檔案,為了成功展開攻擊,攻擊者必須引誘使用者開啟惡意網站。
另一個影響最終用戶和企業的關鍵漏洞是Windows DHCP 伺服器遠端執行程式碼弱點,編號為「CVE-2019-0626」,當攻擊者傳送蓄意製作的封包到 DHCP 伺服器時,表示 Windows Server DHCP 服務存在記憶體損毀弱點。成功利用弱點的攻擊者可能會在 DHCP 伺服器上執行任意程式碼。為了利用弱點,攻擊者可能會傳送蓄意製作的封包到 DHCP 伺服器,此安全性更新會更正 DHCP 伺服器處理網路封包的方式,藉此解決潛在的漏洞。
企業用戶較嚴重的為 Microsoft Exchange Server 漏洞,編號為「CVE-2019-0686」 及「CVE-2019-0724」,攻擊者可能會嘗試模擬 Exchange 伺服器的任何其他使用者。為了利用弱點,攻擊者可能必須執行攔截式攻擊,將驗證要求轉寄到 Microsoft Exchange Server,以便允許模擬其他 Exchange 使用者。
若要解決「CVE-2019-0686」漏洞,建議在組織定義並套用值為零的 EWSMaxSubscriptions 節流原則。這會使 Exchange 伺服器無法傳送 EWS 通知,並使依賴 EWS 通知的用戶端應用程式無法正常運作。受影響的應用程式包括 Mac 版 Outlook、商務用 Skype、通知相依 LOB 應用程式,以及一些 iOS 原生郵件用戶端;至於修復「CVE-2019-0724」漏洞,則需要禁用網路回路適配器中的 NTLM 授權。
是次 2 月份的 Windows 更新合共修復了 77 個安全漏洞,Microsoft 已釋出漏洞修補檔,請務必利用 Windows Update 進行更新,以降低系統遭破壞或入侵的危險。