绿盟科技互联网安全威胁周报NSFOCUS-19-02

绿盟科技发布了本周安全通告,周报编号NSFOCUS-19-02, 绿盟科技漏洞库 本周新增84条,其中高危23条。本次周报建议大家关注Microsoft Word任意代码执行漏洞等,Microsoft Word在内存对象的处理方式中存在远程代码执行漏洞。远程攻击者可借助特制的文件,利用该漏洞在当前用户安全上下文中执行操作。目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的页面下载。

焦点漏洞

  • Microsoft Word任意代码执行漏洞
  • CVE ID
    • CVE-2019-0585
  • NSFOCUS ID
    • 42437
  • 受影响版本
    • Microsoft Office 2019
    • Microsoft Office 2016
    • Microsoft Office 2010
    • Microsoft Word 2016
    • Microsoft Word 2013
    • Microsoft Word 2010
    • Microsoft SharePoint Server 2019
    • Microsoft SharePoint Enterprise Server 2016
    • Microsoft SharePoint Enterprise Server 2013 SP1
  • 漏洞点评
    • Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。Microsoft Word在内存对象的处理方式中存在远程代码执行漏洞。远程攻击者可借助特制的文件,利用该漏洞在当前用户安全上下文中执行操作。目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的页面下载。 (数据来源:绿盟威胁情报中心) (数据来源:绿盟威胁情报中心)

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比有明显下降。

1.2 威胁信息回顾

  • 标题:微软发布1月补丁修复51个安全问题

    • 时间:2019-01-09
    • 简介:本月微软修复日共修复了 51 个漏洞,有一些严重漏洞影响到 Edge、Hyper-V 和 DHCP 等产品。微软表示本次修复的漏洞都没有利用实例,但其中编号为 CVE-2019-0579 的漏洞曾被公开披露过,主要影响 Windows Jet 数据库引擎。与此同时,Adobe 也发布了漏洞补丁,主要解决了 Connect 和 Digital Editions 中的两个“重要”漏洞。
    • 链接:http://blog.nsfocus.net/microsoft-released-a-january-patch-to-fix-51-security-issues/
  • 标题:与伊朗有关的APT组织支持全球DNS劫持活动

    • 时间:2019-01-11
    • 简介:近日,一些安全研究人员对劫持域名的DNS攻击发出了警告,称攻击规模史无前例。攻击者能够通过DNS劫持收集到用户名和密码,而终端用户对此几乎一无所知。目前,研究人员称攻击者主要针对北美、欧洲、中东和北非实体的域名,认为攻击者可能与伊朗的APT组织有关。
    • 链接:https://securityaffairs.co/wordpress/79722/apt/iran-apts-dns-hijacking.html
  • 标题:TA505组织采用新的ServHelper后门和FlawedGrace远程木马进行攻击

    • 时间:2019-01-10
    • 简介:由TA505网络犯罪团伙通过网络钓鱼活动分发了两个新的恶意软件系列:ServHelper后门有两个变种和FlawedGrace远程访问木马(RAT)。近期攻击者瞄准金融和零售行业的组织,使用Microsoft Word,Microsoft Publisher和PDF文件诱导受害者主机感染恶意软件。
    • 链接:https://www.bleepingcomputer.com/news/security/ta505-group-adopts-new-servhelper-backdoor-and-flawedgrace-rat/
  • 标题:泄露数百名德国政客信息的黑客被捕

    • 时间:2019-01-08
    • 简介:近期有报道称德国多名政客信息泄露,连德国总理默克尔也未能幸免。当时泄露的信息包括邮箱地址、手机号、收据、身份文件复印件以及个人聊天记录等。目前,外媒报道称涉事的黑客已经被逮捕且已经认罪。
    • 链接:https://securityaffairs.co/wordpress/79653/data-breach/german-politicians-leak-culprit.html
  • 标题:Ryuk勒索软件和TrickBot结合获得对受感染网络的访问权限

    • 时间:2019-01-12
    • 简介:Ryuk被认为是一种有针对性的勒索软件,可以通过远程桌面服务或其他直接方法获取目标主机访问权限,窃取凭据,然后针对数据和服务器勒索可能的最高赎金金额。近期,Ryuk和TrickBot结合被用于攻击影响华尔街日报,纽约时报和洛杉矶时报等大型出版物的报纸发行。
    • 链接:https://www.bleepingcomputer.com/news/security/ryuk-ransomware-partners-with-trickbot-to-gain-access-to-infected-networks/
  • 标题:Dark Overlord组织放出第一批650份机密级9/11事件文件的解密密钥

    • 时间:2019-01-07
    • 简介:近日,Dark Overlord黑客组织声称从英国保险公司Hiscox窃取了大量9/11事件相关的机密文件。2018年4月,Hiscox承认数据泄露,并确认被黑客入侵的服务器“可能包含了有关多达1,500名Hiscox美国商业保险保单持有人的信息。”2018年12月31日,保险公司确认被盗文件包括有关9/11事件的信息。
    • 链接:https://securityaffairs.co/wordpress/79549/hacking/the-dark-overlord-9-11.html?tdsourcetag=s_pctim_aiomsg
  • 标题:GoDaddy被发现将JavaScript注入其在托管的网站的所有网页

    • 时间:2019-01-13
    • 简介:知名域名注册、主机服务网站GoDaddy被发现其在托管的网站的所有网页嵌入了一个脚本,而这一注入并没有经过网站管理员的同意。最初,GoDaddy是为了改善性能的而植入名为Real User Metrics的脚本去收集用户数据,声称绝大部分用户不会感觉到问题,但脚本本身却存在导致网站加载缓慢或破坏网页的可能。
    • 链接:https://www.igorkromin.net/index.php/2019/01/13/godaddy-is-sneakily-injecting-javascript-into-your-website-and-how-to-stop-it/
  • 标题:新的侧通道攻击从Windows,Linux页面缓存窃取数据

    • 时间:2019-01-08
    • 简介:近日有研究人员发现一种新的边信道攻击,利用操作系统的页面缓存窃取项目二进制文件、库、文件等敏感信息。根据研究人员的演示,Windows 和 Linux 都会受到该攻击影响,macOS 也可能受到相同影响。这个攻击不受硬件设施的限制,主要在本地发起攻击,绕过沙箱、改正定时的用户界面,而且可以恢复自动生成的临时密码。此外,远程攻击也有可能实现,不过会有条件限制。
    • 链接:https://www.bleepingcomputer.com/news/security/new-side-channel-attack-steals-data-from-windows-linux-page-cache/
  • 标题:未受保护的MongoDB暴露超过2亿份简历

    • 时间:2019-01-10
    • 简介:一个庞大的MongoDB数据库包含2亿多条记录,其中包含来自中国求职者的简历,无需认证即可访问至少一周内的求职者。缓存的大小约854GB。以这种方式曝光的信息,共计202,730,434条记录,包括人们希望在简历中看到的所有细节:个人信息(全名,出生日期,电话号码,电子邮件地址,公民身份),专业经验和工作期望。这类信息是网络犯罪分子的金矿,可以利用它来提高网络钓鱼活动的成功率。
    • 链接:https://www.bleepingcomputer.com/news/security/unprotected-mongodb-exposes-over-200-millions-resumes/

(数据来源:绿盟科技 威胁情报中心 收集整理)

二. 漏洞研究

2.1 漏洞库统计

截止到2019年01月11日,绿盟科技漏洞库已收录总条目达到42493条。本周新增漏洞记录84条,其中高危漏洞数量23条,中危漏洞数量60条,低危漏洞数量1条。

  • IBM API Connect 权限提升漏洞(CVE-2018-1859)
    • 危险等级:中
    • cve编号:CVE-2018-1888
  • IBM i Access for Windows 任意代码执行漏洞(CVE-2018-1888)
    • 危险等级:中
    • cve编号:CVE-2018-3956
  • Foxit Reader和PhantomPDF for Windows 缓冲区溢出漏洞(CVE-2018-3956)
    • 危险等级:中
    • cve编号:CVE-2018-18688
  • Foxit Reader和PhantomPDF for Windows 安全限制绕过漏洞(CVE-2018-18688)
    • 危险等级:中
    • cve编号:CVE-2019-5005
  • Foxit Reader和PhantomPDF for Windows拒绝服务漏洞(CVE-2019-5005)
    • 危险等级:中
    • cve编号:CVE-2019-5006
  • Foxit Reader和PhantomPDF for Windows空指针间接引用漏洞(CVE-2019-5006)
    • 危险等级:中
    • cve编号:CVE-2019-5007
  • Foxit Reader和PhantomPDF for Windows 缓冲区溢出漏洞(CVE-2019-5007)
    • 危险等级:中
    • cve编号:CVE-2018-18689
  • Foxit Reader和PhantomPDF for Windows 安全限制绕过漏洞(CVE-2018-18689)
    • 危险等级:中
    • cve编号:CVE-2018-4035
  • MacPaw CleanMyMac X truncateFileAtPath权限提升漏洞(CVE-2018-4035)
    • 危险等级:高
    • cve编号:CVE-2018-4032
  • MacPaw CleanMyMac X moveItemAtPath权限提升漏洞(CVE-2018-4032)
    • 危险等级:高
    • cve编号:CVE-2018-4034
  • MacPaw CleanMyMac X removeItemAtPath权限提升漏洞(CVE-2018-4034)
    • 危险等级:高
    • cve编号:CVE-2018-4044
  • MacPaw CleanMyMac X removePackageWithID 权限提升漏洞(CVE-2018-4044)
    • 危险等级:高
    • cve编号:CVE-2018-4041
  • MacPaw CleanMyMac X enableLaunchdAgentAtPath权限提升漏洞(CVE-2018-4041)
    • 危险等级:高
    • cve编号:CVE-2018-4046
  • MacPaw CleanMyMac X pleaseTerminate拒绝服务漏洞(CVE-2018-4046)
    • 危险等级:高
    • cve编号:CVE-2018-4042
  • MacPaw CleanMyMac X removeLaunchdAgentAtPath权限提升漏洞(CVE-2018-4042)
    • 危险等级:高
    • cve编号:CVE-2018-4047
  • MacPaw CleanMyMac X disableLaunchdAgentAtPath权限提升漏洞(CVE-2018-4047)
    • 危险等级:高
    • cve编号:CVE-2018-4043
  • MacPaw CleanMyMac X removeASL权限提升漏洞(CVE-2018-4043)
    • 危险等级:高
    • cve编号:CVE-2018-4045
  • MacPaw CleanMyMac X securelyRemoveItemAtPath权限提升漏洞(CVE-2018-4045)
    • 危险等级:高
    • cve编号:CVE-2018-4037
  • MacPaw CleanMyMac X 权限提升漏洞(CVE-2018-4037)
    • 危险等级:高
    • cve编号:CVE-2018-4033
  • MacPaw CleanMyMac X moveToTrashItemAtPath权限提升漏洞(CVE-2018-4033)
    • 危险等级:高
    • cve编号:CVE-2018-4036
  • MacPaw CleanMyMac X removeKextAtPath权限提升漏洞(CVE-2018-4036)
    • 危险等级:高
    • cve编号:CVE-2019-3701
  • Linux Kernel ‘can_can_gw_rcv in net/can/gw.c’ 本地拒绝服务漏洞(CVE-2019-3701)
    • 危险等级:低
    • BID:106443
    • cve编号:CVE-2019-0550
  • Microsoft Windows Hyper-V远程代码执行漏洞(CVE-2019-0550)
    • 危险等级:高
    • BID:106385
    • cve编号:CVE-2019-0551
  • Microsoft Windows Hyper-V远程代码执行漏洞(CVE-2019-0551)
    • 危险等级:高
    • BID:106386
    • cve编号:CVE-2019-0556
  • Microsoft Office SharePoint跨站脚本漏洞(CVE-2019-0556)
    • 危险等级:中
    • BID:106387
    • cve编号:CVE-2019-0557
  • Microsoft Office SharePoint跨站脚本漏洞(CVE-2019-0557)
    • 危险等级:中
    • BID:106388
    • cve编号:CVE-2019-0558
  • Microsoft Office SharePoint跨站脚本漏洞(CVE-2019-0558)
    • 危险等级:中
    • BID:106389
    • cve编号:CVE-2019-0585
  • Microsoft Word任意代码执行漏洞(CVE-2019-0585)
    • 危险等级:中
    • BID:106392
    • cve编号:CVE-2019-0537
  • Microsoft Visual Studio信息泄露漏洞(CVE-2019-0537)
    • 危险等级:中
    • BID:106390
    • cve编号:CVE-2019-0546
  • Microsoft Visual Studio任意代码执行漏洞(CVE-2019-0546)
    • 危险等级:中
    • BID:106391
    • cve编号:CVE-2019-0559
  • Microsoft Outlook信息泄露漏洞(CVE-2019-0559)
    • 危险等级:中
    • BID:106397
    • cve编号:CVE-2019-0555
  • Microsoft Windows 本地权限提升漏洞(CVE-2019-0555)
    • 危险等级:中
    • BID:106395
    • cve编号:CVE-2019-0547
  • Microsoft Windows DHCP Client 远程代码执行漏洞(CVE-2019-0547)
    • 危险等级:高
    • BID:106394
    • cve编号:CVE-2019-0562
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2019-0562)
    • 危险等级:中
    • BID:106400
    • cve编号:CVE-2019-0560
  • Microsoft Office 信息泄露漏洞(CVE-2019-0560)
    • 危险等级:中
    • BID:106398
    • cve编号:CVE-2019-0561
  • Microsoft Word 信息泄露漏洞(CVE-2019-0561)
    • 危险等级:中
    • BID:106399
    • cve编号:CVE-2019-0575
  • Microsoft Windows JET Database Engine 远程代码执行漏洞(CVE-2019-0575)
    • 危险等级:中
    • BID:106404
    • cve编号:CVE-2019-0541
  • Microsoft Internet Explorer 远程代码执行漏洞(CVE-2019-0541)
    • 危险等级:中
    • BID:106402
    • cve编号:CVE-2019-0539
  • Microsoft Chakra脚本引擎远程内存破坏漏洞(CVE-2019-0539)
    • 危险等级:高
    • BID:106401
    • cve编号:CVE-2018-12817
  • Adobe Digital Editions 越界读信息泄露漏洞(CVE-2018-12817)
    • 危险等级:中
    • BID:106472
    • cve编号:CVE-2018-19718
  • Adobe Connect信息泄露漏洞(CVE-2018-19718)
    • 危险等级:高
    • BID:106469
    • cve编号:CVE-2019-0567
  • Microsoft Edge Chakra脚本引擎远程内存破坏漏洞(CVE-2019-0567)
    • 危险等级:高
    • BID:106418
    • cve编号:CVE-2019-0566
  • Microsoft Edge远程权限提升漏洞(CVE-2019-0566)
    • 危险等级:中
    • BID:106417
    • cve编号:CVE-2019-0565
  • Microsoft Edge远程内存破坏漏洞(CVE-2019-0565)
    • 危险等级:高
    • BID:106416
    • cve编号:CVE-2019-0569
  • Microsoft Windows Kernel本地信息泄露漏洞(CVE-2019-0569)
    • 危险等级:中
    • BID:106414
    • cve编号:CVE-2019-0570
  • Microsoft Windows Runtime 本地权限提升漏洞(CVE-2019-0570)
    • 危险等级:中
    • BID:106415
    • cve编号:CVE-2019-0553
  • Microsoft Windows Subsystem for Linux本地信息泄露漏洞(CVE-2019-0553)
    • 危险等级:中
    • BID:106412
    • cve编号:CVE-2019-0564
  • Microsoft ASP.NET Core 拒绝服务漏洞(CVE-2019-0564)
    • 危险等级:中
    • BID:106413
    • cve编号:CVE-2019-0548
  • Microsoft ASP.NET Core 拒绝服务漏洞(CVE-2019-0548)
    • 危险等级:中
    • BID:106410
    • cve编号:CVE-2019-0554
  • Microsoft Windows Kernel本地信息泄露漏洞(CVE-2019-0554)
    • 危险等级:中
    • BID:106411
    • cve编号:CVE-2019-0549
  • Microsoft Windows Kernel本地信息泄露漏洞(CVE-2019-0549)
    • 危险等级:中
    • BID:106409
    • cve编号:CVE-2019-0536
  • Microsoft Windows Kernel本地信息泄露漏洞(CVE-2019-0536)
    • 危险等级:中
    • BID:106406
    • cve编号:CVE-2019-0552
  • Microsoft Windows COM本地权限提升漏洞(CVE-2019-0552)
    • 危险等级:中
    • BID:106407
    • cve编号:CVE-2019-0543
  • Microsoft Windows 本地权限提升漏洞(CVE-2019-0543)
    • 危险等级:中
    • BID:106408
    • cve编号:CVE-2019-0545
  • Microsoft ASP.NET Core 信息泄露漏洞(CVE-2019-0545)
    • 危险等级:中
    • BID:106405
    • cve编号:CVE-2019-0538
  • Microsoft Windows JET Database Engine 远程代码执行漏洞(CVE-2019-0538)
    • 危险等级:中
    • BID:106419
    • cve编号:CVE-2019-0568
  • Microsoft Edge Chakra脚本引擎远程内存破坏漏洞(CVE-2019-0568)
    • 危险等级:高
    • BID:106420
    • cve编号:CVE-2019-0586
  • Microsoft Exchange 远程内存破坏漏洞(CVE-2019-0586)
    • 危险等级:中
    • BID:106421
    • cve编号:CVE-2019-0576
  • Microsoft Windows JET Database Engine 远程代码执行漏洞(CVE-2019-0576)
    • 危险等级:中
    • BID:106422
    • cve编号:CVE-2019-0577
  • Microsoft Windows JET Database Engine 远程代码执行漏洞(CVE-2019-0577)
    • 危险等级:中
    • BID:106423
    • cve编号:CVE-2019-0578
  • Microsoft Windows JET Database Engine 远程代码执行漏洞(CVE-2019-0578)
    • 危险等级:中
    • BID:106424
    • cve编号:CVE-2019-0579
  • Microsoft Windows JET Database Engine 远程代码执行漏洞(CVE-2019-0579)
    • 危险等级:中
    • BID:106425
    • cve编号:CVE-2019-0571
  • Microsoft Windows Data Sharing Service 本地权限提升漏洞(CVE-2019-0571)
    • 危险等级:中
    • BID:106426
    • cve编号:CVE-2019-0572
  • Microsoft Windows Data Sharing Service 本地权限提升漏洞(CVE-2019-0572)
    • 危险等级:中
    • BID:106428
    • cve编号:CVE-2019-0580
  • Microsoft Windows JET Database Engine 远程代码执行漏洞(CVE-2019-0580)
    • 危险等级:中
    • BID:106429
    • cve编号:CVE-2019-0573
  • Microsoft Windows Data Sharing Service 本地权限提升漏洞(CVE-2019-0573)
    • 危险等级:中
    • BID:106430
    • cve编号:CVE-2019-0574
  • Microsoft Windows Data Sharing Service 本地权限提升漏洞(CVE-2019-0574)
    • 危险等级:中
    • BID:106431
    • cve编号:CVE-2019-0581
  • Microsoft Windows JET Database Engine 远程代码执行漏洞(CVE-2019-0581)
    • 危险等级:中
    • BID:106432
    • cve编号:CVE-2019-0582
  • Microsoft Windows JET Database Engine 远程代码执行漏洞(CVE-2019-0582)
    • 危险等级:中
    • BID:106433
    • cve编号:CVE-2019-0583
  • Microsoft Windows JET Database Engine 远程代码执行漏洞(CVE-2019-0583)
    • 危险等级:中
    • BID:106435
    • cve编号:CVE-2019-0584
  • Microsoft Windows JET Database Engine 远程代码执行漏洞(CVE-2019-0584)
    • 危险等级:中
    • BID:106436
    • cve编号:CVE-2019-0588
  • Microsoft Exchange Server远程信息泄露漏洞(CVE-2019-0588)
    • 危险等级:中
    • BID:106437
    • cve编号:CVE-2019-0622
  • Microsoft Skype for Android 本地权限提升漏洞(CVE-2019-0622)
    • 危险等级:中
    • BID:106465
    • cve编号:CVE-2018-15457
  • Cisco Prime Infrastructure 信息泄露安全漏洞(CVE-2018-15457)
    • 危险等级:中
    • cve编号:CVE-2018-15464
  • Cisco ASR 900 Series ASR拒绝服务漏洞(CVE-2018-15464)
    • 危险等级:中
    • cve编号:CVE-2018-15466
  • Cisco Policy Suite Graphite只读访问安全漏洞(CVE-2018-15466)
    • 危险等级:中
    • cve编号:CVE-2018-15453
  • Cisco Email Security Appliance 拒绝服务漏洞(CVE-2018-15453)
    • 危险等级:高
    • cve编号:CVE-2018-0461
  • Cisco IP Phone 8800 Series 任意脚本注入漏洞(CVE-2018-0461)
    • 危险等级:中
    • cve编号:CVE-2018-15460
  • Cisco Email Security Appliance 拒绝服务漏洞(CVE-2018-15460)
    • 危险等级:高
    • cve编号:CVE-2018-0474
  • Cisco Unified Communications Manager信息泄露安全漏洞(CVE-2018-0474)
    • 危险等级:中
    • cve编号:CVE-2018-15458
  • Cisco Firepower Management Center拒绝服务漏洞(CVE-2018-15458)
    • 危险等级:中
    • cve编号:CVE-2018-15463
  • Cisco Identity Services Engine 跨站脚本安全漏洞(CVE-2018-15463)
    • 危险等级:中
    • cve编号:CVE-2018-15440
  • Cisco Identity Services Engine 跨站脚本安全漏洞(CVE-2018-15440)
    • 危险等级:中
    • cve编号:CVE-2018-15456
  • Cisco Identity Services Engine 密码恢复安全漏洞(CVE-2018-15456)
    • 危险等级:中
    • cve编号:CVE-2018-15456

(数据来源:绿盟威胁情报中心)

 


附件下载

 

发表评论