绿盟科技互联网安全威胁周报NSFOCUS-2019-38

ws2ifsl.sys (Winsock) 处理内存中对象的方式存在特权提升漏洞。成功利用此漏洞的攻击者可能会利用提升的特权执行代码。为了利用此漏洞,在本地经过身份验证的攻击者可能会运行经特殊设计的应用程序。

焦点漏洞

  • Microsoft Windows权限提升漏洞
    • CVE ID
      • CVE-2019-1215
    • NSFOCUS ID
      • 44403
    • 受影响版本
      • Microsoft Windows Server 2019
      • Microsoft Windows Server 2016
      • Microsoft Windows Server 2012
      • Microsoft Windows Server 2008
      • Microsoft Windows RT 8.1
      • Microsoft Windows 8.1
      • Microsoft Windows 7
      • Microsoft Windows 10
    • 漏洞点评
      • Winsock是Windows的TCP/IP网络编程接口。ws2ifsl.sys (Winsock) 处理内存中对象的方式存在特权提升漏洞。成功利用此漏洞的攻击者可能会利用提升的特权执行代码。为了利用此漏洞,在本地经过身份验证的攻击者可能会运行经特殊设计的应用程序。目前厂商已经提供了补丁程序,请到厂商的相关页面以获取最新版本。

(数据来源:绿盟威胁情报中心)

 

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比有明显增长。

1.2 威胁信息回顾

  • 标题:phpstudy后门植入攻击事件
    • 时间:2019-09-21
    • 简介:近期,杭州公安在发布的《杭州警方通报打击涉网违法犯罪暨“净网行动2019”专项行动战果》中提到,2016年发布的phpstudy版本被不法分子恶意植入后门,犯罪嫌疑人在2019年初被公安机关抓获。其利用植入的后门非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组。
    • 链接:https://nti.nsfocus.com/event?query=18f5d400592554caaa8f19f6259a50be56f22df5&type=all
  • 标题:微软收购Semmle,GitHub现在是CVE编号机构
    • 时间:2019-09-18
    • 简介:微软子公司GitHub今天宣布,它已经成为CVE编号机构,并完成了对Semmle代码分析平台的收购。Semmle的分析引擎QL简化了在大型代码库上查找相同编码错误的变体的过程,从而可以更快地发现安全漏洞。
    • 链接:https://www.bleepingcomputer.com/news/security/microsoft-acquires-semmle-github-now-a-cve-numbering-authority/
  • 标题:phpMyAdmin跨站请求伪造(CVE-2019-12922)漏洞
    • 时间:2019-09-21
    • 简介:近日,安全研究人员Manuel Garcia Cardenas披露了phpMyAdmin的一个跨站请求伪造(CVE-2019-12922)漏洞。攻击者可利用该漏洞诱使认证用户执行恶意操作。当攻击者将恶意构造的URL发送给目标web管理员时,若该web管理员已使用同一浏览器登陆了phpmyAdmin面板,并打开该链接,即可执行URL包含的恶意请求删除目标服务器上phpMyAdmin面板设置页面中所配置的服务器。
    • 链接:https://packetstormsecurity.com/files/154483/phpMyAdmin-4.9.0.1-Cross-Site-Request-Forgery.html
  • 标题:WebSphere任意文件读取(CVE-2019-4505)漏洞
    • 时间:2019-09-21
    • 简介:2019年9月18日 IBM官方发布CVE-2019-4505的安全通告,披露了一个WebSphere 的任意文件读取(CVE-2019-4505)漏洞 ,IBM WebSphere (Web 服务部署中间件)允许远程攻击者构造特定的URL获取服务器上的敏感文件。导致攻击者可以查看某个目录中的任何文件。攻击者可以通过该漏洞获取文件的敏感信息进行进一步的利用。
    • 链接:https://www.ibm.com/support/pages/security-bulletin-information-disclosure-websphere-application-server-nd-cve-2019-4505
  • 标题:泛微协同OA管理平台(e-cology)远程代码执行漏洞
    • 时间:2019-09-20
    • 简介:近日,泛微协同OA管理平台(e-cology)被披露在系统自带的BeanShell组件中存在未授权访问的漏洞,攻击者调用BeanShell组件接口可直接在目标服务器上执行任意命令。
    • 链接:http://blog.nsfocus.net/weaver-e-cology/
  • 标题:fastjson<=1.2.60远程代码执行漏洞
    • 时间:2019-09-20
    • 简介:9月18日,有安全研究员在阿里官方GitHub上提交了针对fastjson反序列化远程命令执行漏洞新利用方式的修复代码,攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围广泛。请相关用户尽快采取防护措施。
    • 链接:http://blog.nsfocus.net/ns-2019-0036/
  • 标题:Magecart攻击者瞄准连锁酒店预订网站的移动用户
    • 时间:2019-09-18
    • 简介:Magecart入侵了两家连锁酒店的网站,以注入针对Android和iOS用户的脚本。受感染的网站是由 Roomleader,这是一家设计在线预订网站的公司。威胁参与者将恶意代码注入了Roomleader模块“viewedHotels”。尽管该模块仅用于两个不同连锁酒店的两个网站,但潜在受害者的数量非常高,因为其中一个品牌在14个国家拥有107家酒店,而另一个品牌在14个国家具有73家酒店。
    • 链接:https://blog.trendmicro.com/trendlabs-security-intelligence/magecart-skimming-attack-targets-mobile-users-of-hotel-chain-booking-websites/
  • 标题:SectorH01威胁组织利用RevengeRAT和NanoCore针对全球用户
    • 时间:2019-09-19
    • 简介:SectorH01威胁组织利用钓鱼电子邮件针对全球用户,恶意电子邮件包含与付款相关的主题,例如采购订单、发票、报价请求、电汇确认文档或逾期付款。这些电子邮件附件有Excel、Word、RTF和ZIP等类型的文件。最近几个月一直在使用简单的混淆VBA宏,它针对Bitly缩短的链接执行mshta.exe,该链接重定向到Google Blogger(blogspot)链接,并在其源代码中隐藏了JavaScript。
    • 链接:https://threatrecon.nshc.net/2019/09/19/sectorh01-continues-abusing-web-services/
  • 标题:Smominru僵尸网络继续在全球迅速传播
    • 时间:2019-09-19
    • 简介:Smominru僵尸网络正在迅速传播,现在已经每月在全世界范围内感染超过90,000台计算机,受影响严重的地区包括中国、俄罗斯、巴西和美国。Smominru僵尸网络自2017年5月以来一直活跃,并且在发现之时感染了526,000多台Windows计算机。
    • 链接:https://thehackernews.com/2019/09/smominru-botnet.html
  • 标题:TortoiseShell组织针对IT供应商的供应链攻击
    • 时间:2019-09-21
    • 简介:TortoiseShell至少自2018年7月以来一直活跃。近期该组织正在使用自定义和现成的恶意软件来针对沙特阿拉伯的IT提供商,此次为供应链攻击,最终目的是损害IT提供商的客户。
    • 链接:https://www.symantec.com/blogs/threat-intelligence/tortoiseshell-apt-supply-chain

(数据来源:绿盟科技 威胁情报中心 收集整理)

二. 漏洞研究

2.1 漏洞库统计

截止到2019年9月20日,绿盟科技漏洞库已收录总条目达到44443条。本周新增漏洞记录103条,其中高危漏洞数量60条,中危漏洞数量39条,低危漏洞数量4条。

  • Microsoft .NET Core 拒绝服务漏洞 (CVE-2019-1301)
    • 危险等级:高
    • cve编号:CVE-2019-1301
  • Microsoft .NET Framework 权限提升漏洞 (CVE-2019-1142)
    • 危险等级:中
    • cve编号:CVE-2019-1142
  • Microsoft Active Directory 联合身份验证服务跨站脚本漏洞 (CVE-2019-1273)
    • 危险等级:中
    • cve编号:CVE-2019-1273
  • Microsoft ASP.NET Core权限提升漏洞 (CVE-2019-1302)
    • 危险等级:高
    • cve编号:CVE-2019-1302
  • Microsoft Jet Database Engine远程代码执行漏洞 (CVE-2019-1250)
    • 危险等级:高
    • cve编号:CVE-2019-1250
  • Microsoft Jet Database Engine远程代码执行漏洞 (CVE-2019-1249)
    • 危险等级:高
    • cve编号:CVE-2019-1249
  • Microsoft Jet Database Engine远程代码执行漏洞 (CVE-2019-1248)
    • 危险等级:高
    • cve编号:CVE-2019-1248
  • Microsoft Jet Database Engine远程代码执行漏洞 (CVE-2019-1247)
    • 危险等级:高
    • cve编号:CVE-2019-1247
  • Microsoft Jet Database Engine远程代码执行漏洞 (CVE-2019-1246)
    • 危险等级:高
    • cve编号:CVE-2019-1246
  • Microsoft Jet Database Engine远程代码执行漏洞 (CVE-2019-1243)
    • 危险等级:高
    • cve编号:CVE-2019-1243
  • Microsoft Jet Database Engine远程代码执行漏洞 (CVE-2019-1242)
    • 危险等级:高
    • cve编号:CVE-2019-1242
  • Microsoft Jet Database Engine远程代码执行漏洞 (CVE-2019-1240)
    • 危险等级:高
    • cve编号:CVE-2019-1240
  • Microsoft Jet Database Engine远程代码执行漏洞 (CVE-2019-1241)
    • 危险等级:高
    • cve编号:CVE-2019-1241
  • Microsoft DirectWrite信息泄露漏洞 (CVE-2019-1245)
    • 危险等级:中
    • cve编号:CVE-2019-1245
  • Microsoft DirectWrite信息泄露漏洞 (CVE-2019-1251)
    • 危险等级:中
    • cve编号:CVE-2019-1251
  • Microsoft Windows GDI 信息泄露漏洞 (CVE-2019-1252)
    • 危险等级:中
    • cve编号:CVE-2019-1252
  • Microsoft Windows GDI 信息泄露漏洞 (CVE-2019-1283)
    • 危险等级:中
    • cve编号:CVE-2019-1283
  • Microsoft DirectX权限提升漏洞 (CVE-2019-1284)
    • 危险等级:高
    • cve编号:CVE-2019-1284
  • Microsoft Windows GDI 信息泄露漏洞 (CVE-2019-1286)
    • 危险等级:中
    • cve编号:CVE-2019-1286
  • Microsoft DirectWrite信息泄露漏洞 (CVE-2019-1244)
    • 危险等级:中
    • cve编号:CVE-2019-1244
  • Microsoft DirectX信息泄露漏洞 (CVE-2019-1216)
    • 危险等级:中
    • cve编号:CVE-2019-1216
  • Microsoft Exchange拒绝服务漏洞 (CVE-2019-1233)
    • 危险等级:中
    • cve编号:CVE-2019-1233
  • Microsoft Windows Common Log File System权限提升漏洞 (CVE-2019-1214)
    • 危险等级:高
    • cve编号:CVE-2019-1214
  • Microsoft Windows Common Log File System信息泄露漏洞 (CVE-2019-1282)
    • 危险等级:中
    • cve编号:CVE-2019-1282
  • Microsoft Internet Explorer/Edge安全功能绕过漏洞 (CVE-2019-1220)
    • 危险等级:低
    • cve编号:CVE-2019-1220
  • Microsoft Edge信息泄露漏洞 (CVE-2019-1299)
    • 危险等级:中
    • cve编号:CVE-2019-1299
  • Microsoft Exchange欺骗漏洞 (CVE-2019-1266)
    • 危险等级:中
    • cve编号:CVE-2019-1266
  • Microsoft Office 安全功能绕过漏洞 (CVE-2019-1264)
    • 危险等级:中
    • cve编号:CVE-2019-1264
  • Microsoft SharePoint 远程执行代码漏洞 (CVE-2019-1257)
    • 危险等级:高
    • cve编号:CVE-2019-1257
  • Microsoft Excel 远程信息泄露漏洞 (CVE-2019-1263)
    • 危险等级:中
    • cve编号:CVE-2019-1263
  • Microsoft Excel 远程代码执行漏洞 (CVE-2019-1297)
    • 危险等级:高
    • cve编号:CVE-2019-1297
  • Microsoft SharePoint 权限提升漏洞 (CVE-2019-1260)
    • 危险等级:中
    • cve编号:CVE-2019-1260
  • Microsoft SharePoint 欺骗漏洞 (CVE-2019-1259)
    • 危险等级:高
    • cve编号:CVE-2019-1259
  • Microsoft Chakra脚本引擎内存破坏漏洞 (CVE-2019-1138)
    • 危险等级:高
    • cve编号:CVE-2019-1138
  • Microsoft SharePoint 远程执行代码漏洞 (CVE-2019-1296)
    • 危险等级:高
    • cve编号:CVE-2019-1296
  • Microsoft SharePoint 远程执行代码漏洞 (CVE-2019-1295)
    • 危险等级:高
    • cve编号:CVE-2019-1295
  • Microsoft SharePoint跨站脚本漏洞 (CVE-2019-1262)
    • 危险等级:中
    • cve编号:CVE-2019-1262
  • Microsoft SharePoint 欺骗漏洞 (CVE-2019-1261)
    • 危险等级:高
    • cve编号:CVE-2019-1261
  • Microsoft VBScript 远程代码执行漏洞 (CVE-2019-1208)
    • 危险等级:高
    • cve编号:CVE-2019-1208
  • Microsoft Chakra脚本引擎内存破坏漏洞 (CVE-2019-1217)
    • 危险等级:高
    • cve编号:CVE-2019-1217
  • Microsoft 脚本引擎内存破坏漏洞 (CVE-2019-1221)
    • 危险等级:高
    • cve编号:CVE-2019-1221
  • Microsoft Chakra脚本引擎内存破坏漏洞 (CVE-2019-1300)
    • 危险等级:高
    • cve编号:CVE-2019-1300
  • Microsoft Chakra脚本引擎内存破坏漏洞 (CVE-2019-1298)
    • 危险等级:高
    • cve编号:CVE-2019-1298
  • Microsoft Chakra脚本引擎内存破坏漏洞 (CVE-2019-1237)
    • 危险等级:高
    • cve编号:CVE-2019-1237
  • Microsoft VBScript 引擎内存破坏漏洞 (CVE-2019-1236)
    • 危险等级:高
    • cve编号:CVE-2019-1236
  • Microsoft Windows 权限提升漏洞 (CVE-2019-1303)
    • 危险等级:高
    • cve编号:CVE-2019-1303
  • Microsoft Windows Secure Boot安全功能绕过漏洞 (CVE-2019-1294)
    • 危险等级:中
    • cve编号:CVE-2019-1294
  • Microsoft Windows 权限提升漏洞 (CVE-2019-1292)
    • 危险等级:中
    • cve编号:CVE-2019-1292
  • Microsoft Windows Update Delivery Optimization权限提升漏洞 (CVE-2019-1289)
    • 危险等级:中
    • cve编号:CVE-2019-1289
  • Microsoft Windows Network Connectivity Assistant权限提升漏洞 (CVE-2019-1287)
    • 危险等级:高
    • cve编号:CVE-2019-1287
  • Microsoft Windows 权限提升漏洞 (CVE-2019-1278)
    • 危险等级:高
    • cve编号:CVE-2019-1278
  • Microsoft Windows LNK 远程执行代码漏洞 (CVE-2019-1280)
    • 危险等级:高
    • cve编号:CVE-2019-1280
  • Microsoft Windows Audio Service权限提升漏洞 (CVE-2019-1277)
    • 危险等级:高
    • cve编号:CVE-2019-1277
  • Microsoft Windows权限提升漏洞 (CVE-2019-1253)
    • 危险等级:高
    • cve编号:CVE-2019-1253
  • Microsoft Windows ALPC权限提升漏洞 (CVE-2019-1272)
    • 危险等级:高
    • cve编号:CVE-2019-1272
  • Microsoft Windows Text Service Framework权限提升漏洞 (CVE-2019-1235)
    • 危险等级:高
    • cve编号:CVE-2019-1235
  • Microsoft Windows Media权限提升漏洞 (CVE-2019-1271)
    • 危险等级:高
    • cve编号:CVE-2019-1271
  • Microsoft Windows ALPC权限提升漏洞 (CVE-2019-1269)
    • 危险等级:高
    • cve编号:CVE-2019-1269
  • Microsoft Windows Store Installer权限提升漏洞 (CVE-2019-1270)
    • 危险等级:中
    • cve编号:CVE-2019-1270
  • Microsoft Winlogon权限提升漏洞 (CVE-2019-1268)
    • 危险等级:高
    • cve编号:CVE-2019-1268
  • Microsoft Windows Transaction Manager信息泄露漏洞 (CVE-2019-1219)
    • 危险等级:中
    • cve编号:CVE-2019-1219
  • Microsoft Compatibility Appraiser权限提升漏洞 (CVE-2019-1267)
    • 危险等级:高
    • cve编号:CVE-2019-1267
  • Microsoft Windows权限提升漏洞 (CVE-2019-1215)
    • 危险等级:高
    • cve编号:CVE-2019-1215
  • Microsoft Rome SDK 信息泄漏漏洞 (CVE-2019-1231)
    • 危险等级:中
    • cve编号:CVE-2019-1231
  • Microsoft Lync 2013 信息泄漏漏洞 (CVE-2019-1209)
    • 危险等级:中
    • cve编号:CVE-2019-1209
  • Microsoft Team Foundation Server 跨站脚本漏洞 (CVE-2019-1305)
    • 危险等级:中
    • cve编号:CVE-2019-1305
  • Microsoft Azure DevOps/Team Foundation Server 远程执行代码漏洞 (CVE-2019-1306)
    • 危险等级:高
    • cve编号:CVE-2019-1306
  • Microsoft Diagnostics Hub Standard Collector Service权限提升漏洞 (CVE-2019-1232)
    • 危险等级:高
    • cve编号:CVE-2019-1232
  • Microsoft Windows Hyper-V 拒绝服务漏洞 (CVE-2019-0928)
    • 危险等级:中
    • cve编号:CVE-2019-0928
  • Microsoft Windows Hyper-V 信息泄露漏洞 (CVE-2019-1254)
    • 危险等级:中
    • cve编号:CVE-2019-1254
  • Microsoft Windows Remote Desktop Client远程代码执行漏洞 (CVE-2019-1290)
    • 危险等级:高
    • cve编号:CVE-2019-1290
  • Microsoft Windows Remote Desktop Client远程代码执行漏洞 (CVE-2019-1291)
    • 危险等级:高
    • cve编号:CVE-2019-1291
  • Microsoft Windows Remote Desktop Client远程代码执行漏洞 (CVE-2019-0788)
    • 危险等级:高
    • cve编号:CVE-2019-0788
  • Microsoft Windows Remote Desktop Client远程代码执行漏洞 (CVE-2019-0787)
    • 危险等级:高
    • cve编号:CVE-2019-0787
  • Microsoft Windows SMB Client Driver信息泄露漏洞 (CVE-2019-1293)
    • 危险等级:中
    • cve编号:CVE-2019-1293
  • Microsoft Windows Win32k权限提升漏洞 (CVE-2019-1285)
    • 危险等级:高
    • cve编号:CVE-2019-1285
  • Microsoft Windows Win32k权限提升漏洞 (CVE-2019-1256)
    • 危险等级:高
    • cve编号:CVE-2019-1256
  • Microsoft Windows Kernel信息泄露漏洞 (CVE-2019-1274)
    • 危险等级:中
    • cve编号:CVE-2019-1274
  • 3S-Smart Software Solutions GmbH CODESYS V3拒绝服务漏洞 (CVE-2019-9009)
    • 危险等级:高
    • cve编号:CVE-2019-9009
  • 3S-Smart Software Solutions GmbH CODESYS V3 OPC UA Server拒绝服务漏洞 (CVE-2019-13542)
    • 危险等级:中
    • cve编号:CVE-2019-13542
  • CODESYS V3 Online User Management未授权访问漏洞 (CVE-2019-9008)
    • 危险等级:高
    • cve编号:CVE-2019-9008
  • Advantech WebAccess权限控制漏洞 (CVE-2019-13550)
    • 危险等级:高
    • cve编号:CVE-2019-13550
  • Advantech WebAccess栈缓冲区溢出漏洞 (CVE-2019-13556)
    • 危险等级:高
    • cve编号:CVE-2019-13556
  • Advantech WebAccess代码注入漏洞 (CVE-2019-13552)
    • 危险等级:高
    • cve编号:CVE-2019-13552
  • Advantech WebAccess代码注入漏洞 (CVE-2019-13558)
    • 危险等级:高
    • cve编号:CVE-2019-13558
  • Siemens SINEMA Remote Connect Server密码哈希信息泄露漏洞 (CVE-2019-13922)
    • 危险等级:中
    • cve编号:CVE-2019-13922
  • Siemens SINEMA Remote Connect Server跨站请求伪造漏洞 (CVE-2019-13918)
    • 危险等级:高
    • cve编号:CVE-2019-13918
  • Siemens SINEMA Remote Connect Server信息泄露漏洞 (CVE-2019-34623)
    • 危险等级:低
    • cve编号:CVE-2019-34623
  • Siemens SINEMA Remote Connect Server跨站请求伪造漏洞 (CVE-2019-13920)
    • 危险等级:低
    • cve编号:CVE-2019-13920
  • Philips IntelliVue WLAN硬编码密码漏洞 (CVE-2019-13530)
    • 危险等级:中
    • cve编号:CVE-2019-13530
  • Philips IntelliVue WLAN任意代码执行漏洞 (CVE-2019-13534)
    • 危险等级:中
    • cve编号:CVE-2019-13534
  • CODESYS V3 Web Server路径遍历漏洞 (CVE-2019-13532)
    • 危险等级:高
    • cve编号:CVE-2019-13532
  • CODESYS V3 Library Manager跨站脚本漏洞 (CVE-2019-13538)
    • 危险等级:高
    • cve编号:CVE-2019-13538
  • CODESYS V3 Web Server栈缓冲区溢出漏洞 (CVE-2019-13548)
    • 危险等级:高
    • cve编号:CVE-2019-13548
  • Honeywell Performance IP Cameras/Performance NVRs信息泄露漏洞 (CVE-2019-13523)
    • 危险等级:中
    • cve编号:CVE-2019-13523
  • Adobe Flash Player释放后重利用漏洞 (CVE-2019-8070)
    • 危险等级:高
    • cve编号:CVE-2019-8070
  • Adobe Flash Player同源方法执行漏洞 (CVE-2019-8069)
    • 危险等级:高
    • cve编号:CVE-2019-8069
  • Adobe Application Manager DLL劫持漏洞 (CVE-2019-8076)
    • 危险等级:中
    • cve编号:CVE-2019-8076
  • Cisco HyperFlex Software计数值注入漏洞 (CVE-2019-12620)
    • 危险等级:中
    • cve编号:CVE-2019-12620
  • Cisco HyperFlex Software跨帧脚本执行漏洞(CVE-2019-1975)
    • 危险等级:中
    • cve编号:CVE-2019-1975
  • 泛微协同OA管理平台(e-cology)远程代码执行漏洞
    • 危险等级:中
    • cve编号:
  • fastjson<=1.2.60远程代码执行漏洞
    • 危险等级:中
    • cve编号:
  • Symantec Norton Password Manager for Android 信息泄露漏洞 (CVE-2019-12755)
    • 危险等级:低
    • BID:110032
    • cve编号:CVE-2019-12755

(数据来源:绿盟威胁情报中心)

发表评论