绿盟科技互联网安全威胁周报NSFOCUS-2019-24

截止到2019年6月14日,绿盟科技漏洞库已收录总条目达到43523条。本周新增漏洞记录65条,其中高危漏洞数量41条,中危漏洞数量23条,低危漏洞数量1条。

当Win32k组件无法正确处理内存中的对象(即“Win32k特权提升漏洞”)时,Windows中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式下运行任意代码。

焦点漏洞

  • Microsoft Windows Win32k本地权限提升漏洞
    • CVE ID
      • CVE-2019-0859
    • NSFOCUS ID
      • 43426
    • 受影响版本
      • Microsoft Windows Server 2019
      • Microsoft Windows Server 2016
      • Microsoft Windows Server 2012 R2
      • Microsoft Windows Server 2012
      • Microsoft Windows Server 2008 R2 for x64-based Systems
      • Microsoft Windows Server 2008 for x64-based Systems SP2
      • Microsoft Windows Server 2008 for Itanium-based Systems
      • Microsoft Windows Server 2008 for 32-bit Systems SP2
      • Microsoft Windows Server 1803
      • Microsoft Windows Server 1709
      • Microsoft Windows 7 Windows 7 for x64-based System
      • Microsoft Windows 7 Windows 7 for 32-bit Systems S
      • Microsoft Windows 10 Version 1809 for x64-based Sys
      • Microsoft Windows 10 Version 1809 for ARM64-based S
      • Microsoft Windows 10 Version 1803 for x64-based Sys
      • Microsoft Windows 10 Version 1803 for ARM64-based S
      • Microsoft Windows 10 Version 1803 for 32-bit System
      • Microsoft Windows 10 Version 1709 for x64-based Sys
      • Microsoft Windows 10 Version 1709 for ARM64-based S
      • Microsoft Windows 10 Version 1709 for 32-bit System
      • Microsoft Windows 10 Version 1703 for x64-based Sys
      • Microsoft Windows 10 Version 1703 for 32-bit System
      • Microsoft Windows 10 Version 1607 for x64-based Sys
      • Microsoft Windows 10 Version 1607 for 32-bit System
      • Microsoft Windows 10 for x64-based Systems
      • Microsoft Windows 10 for 32-bit Systems
      • Microsoft Windows RT 8.1
      • Microsoft Windows 8.1 for x64-based Systems
      • Microsoft Windows 8.1 for 32-bit Systems
    • 漏洞点评
      • 当Win32k组件无法正确处理内存中的对象(即“Win32k特权提升漏洞”)时,Windows中存在一个特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式下运行任意代码。然后攻击者可以安装程序; 查看,更改或删除数据; 或创建具有完全用户权限的新帐户。要利用此漏洞,攻击者首先必须登录系统。然后,攻击者可以运行可以利用此漏洞并控制受影响系统的特制应用程序。目前厂商已经提供补丁程序,请到厂商的相关页面下载补丁。

(数据来源:绿盟威胁情报中心)

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比有明显增长。

1.2 威胁信息回顾

  • 标题:通过Exim服务器传播的Linux蠕虫袭击了Azure客户
    • 时间:2019-06-16
    • 简介:微软周五向Azure客户发出警告称一种新的Linux蠕虫病毒通过Exim电子邮件服务器传播,这种蠕虫已经破坏了一些Azure安装。攻击者瞄准云服务,企图用于多种恶意目的,例如存储恶意软件或者实施命令和控制服务器。
    • 链接:https://securityaffairs.co/wordpress/87168/hacking/linux-worm-exim-servers.html
  • 标题:Oracle Weblogic 远程代码执行漏洞(CVE-2019-2725)补丁绕过
    • 时间:2019-06-16
    • 简介:近日,绿盟科技安全团队发现针对Oracle Weblogic的在野漏洞利用,攻击特征与CVE-2019-2725类似。此攻击可以绕过Oracle官方在4月份发布的最新安全补丁。由于在处理反序列化信息时没有合理进行过滤,攻击者可以通过发送精心构造的恶意HTTP请求来利用该漏洞,从而获取服务器权限并在未授权情况下远程执行任意代码。
    • 链接:https://blog.nsfocus.net/cve-2019-2725/
  • 标题:Telegram遭受来自中国的DDoS攻击
    • 时间:2019-06-13
    • 简介:Telegram是最受欢迎的加密消息传递应用程序之一,在全球数十万用户遭遇强大的分布式拒绝服务(DDoS)攻击后,它已短暂脱机。自上周以来,香港数百万人正在与他们的政治领导人就引渡法的拟议修正案进行斗争,在此期间Telegram遭受来自中国的DDoS攻击,此次攻击主要来自中国的IP地址。
    • 链接:https://www.zdnet.com/article/telegram-says-whopper-ddos-attack-launched-mostly-from-china/
  • 标题:Echobot Botnet通过26个漏洞进行传播
    • 时间:2019-06-14
    • 简介:一个名为Echobot的相对较新的僵尸网络已经增长到它用于传播的漏洞数量。它包含的大多数开发代码都是针对未打补丁的物联网设备,但企业应用程序Oracle WebLogic和VMware SD-Wan也是其中的目标。Echobot基于Mirai恶意软件,就像源代码公开后出现的数百个其他僵尸网络一样。
    • 链接:https://securityaffairs.co/wordpress/87177/malware/echobot-botnet-26-exploits.html
  • 标题:XENOTIME威胁组织针对美国和亚太地区电力公司
    • 时间:2019-06-14
    • 简介:与俄罗斯有关的破坏性威胁组织XENOTIME扩大了其目标,将其重点扩展到中东石油和天然气以外,最近该组织正在探索美国和亚太地区的电力公用事业组织网络。Xenotime自2014年以来一直活跃,该组织于2017年在沙特阿拉伯某地的关键基础设施组织关闭后被发现。
    • 链接:https://threatpost.com/trisis-physical-destruction-electric-companies/145712/
  • 标题:数百万的Exim邮件服务器目前正在受到攻击
    • 时间:2019-06-13
    • 简介:数百万运行易受攻击的Exim邮件传输代理(MTA)版本的邮件服务器目前正处于围困状态,攻击者通过SSH获得对被攻击机器的永久root访问权限。这个漏洞被追踪为CVE-2019-10149。Shodan表示超过3,680,000台服务器正在运行Exim的易受攻击版本,而修补机器的数量已增加到1,765,293台。
    • 链接:https://www.helpnetsecurity.com/2019/06/14/exploiting-cve-2019-10149/
  • 标题:新的WSH RAT恶意软件通过键盘记录程序瞄准银行客户
    • 时间:2019-06-14
    • 简介:安全研究人员发现了一项正在进行的网络钓鱼活动,该活动分发了一种新的远程访问木马(RAT),并通过键盘记录器和信息窃取器主动瞄准商业银行客户。这个新的恶意软件,被其创建者称为WSH远程访问工具(RAT),是基于VBS(Visual Basic Sc​​ript)的Houdini蠕虫(H-Worm)的变种,最初是在2013年创建和传播的。
    • 链接:https://www.bleepingcomputer.com/news/security/new-wsh-rat-malware-targets-bank-customers-with-keyloggers/
  • 标题:微软删除了世界上最大的公开人脸识别数据库 MS Celeb
    • 时间:2019-06-11
    • 简介:微软从互联网上悄然删除了MS Celeb数据库,该数据库包含了超过1000万张、约为10万人的人脸图像,主要被用于人脸识别。MS Celeb 是世界上最大的公开人脸识别数据库,其中包含的人脸图像基本都来自公众人物。
    • 链接:https://www.infoq.cn/article/dXAQ0_z8KhGhIVFcTIUI
  • 标题:RDP检测工具钓鱼攻击
    • 时间:2019-06-11
    • 简介:2019年6月11日,绿盟科技研究人员发现一起RDP检测工具钓鱼攻击。
    • 链接:https://nti.nsfocus.com/event?query=45c65180e2c516a5bf5351b9e4c3b6a6cedd6593&type=all
  • 标题:MyKings攻击组织利用MSSQL爆破入侵
    • 时间:2019-06-13
    • 简介:MyKings是国内大型黑产团伙,主要通过DDoS攻击和挖矿盈利。近期,发现该组织利用MSSQL爆破入侵目标服务器,并执行恶意脚本进行远程控制。
    • 链接:https://nti.nsfocus.com/event?query=c580377c065a200acfaf2d322b4a080cf465c8f6&type=all

(数据来源:绿盟科技 威胁情报中心 收集整理)

二. 漏洞研究

2.1 漏洞库统计

截止到2019年6月14日,绿盟科技漏洞库已收录总条目达到43523条。本周新增漏洞记录65条,其中高危漏洞数量41条,中危漏洞数量23条,低危漏洞数量1条。

  • VMware Tools本地信息泄露漏洞(CVE-2019-5522)
    • 危险等级:高
    • BID:108673
    • cve编号:CVE-2019-5522
  • VMware工作站本地代码执行漏洞(CVE-2019-5525)
    • 危险等级:高
    • BID:108674
    • cve编号:CVE-2019-5525
  • 思科可适应安全工具(ASA)软件拒绝服务漏洞(CVE-2019-1706 )
    • 危险等级:高
    • BID:108144
    • cve编号:CVE-2019-1706
  • 思科Firepower威胁防御软件命令注入漏洞(CVE-2019-1699)
    • 危险等级:高
    • BID:108135
    • cve编号:CVE-2019-1699
  • Cisco Nexus 9000系列Fabric交换机认证绕过漏洞(CVE-2019-1590)
    • 危险等级:高
    • BID:108133
    • cve编号:CVE-2019-1590
  • Cisco Umbrella会话劫持漏洞(CVE-2019-1807)
    • 危险等级:高
    • BID:108134
    • cve编号:CVE-2019-1807
  • 思科Nexus 9000系列Fabric交换机本地权限提升漏洞(CVE-2019-1803)
    • 危险等级:高
    • BID:108136
    • cve编号:CVE-2019-1803
  • 思科网络安全设备本地命令执行漏洞(CVE-2019-1816)
    • 危险等级:高
    • BID:108131
    • cve编号:CVE-2019-1816
  • Pulse Connect Secure和Policy Secure访问绕过漏洞(CVE-2019-11509)
    • 危险等级:高
    • BID:108558
    • cve编号:CVE-2019-11509
  • 多个NetApp产品信息泄露漏洞(CVE-2019-5492)
    • 危险等级:高
    • BID:108105
    • cve编号:CVE-2019-5492
  • 思科自适应安全设备(ASA)软件跨站脚本伪造漏洞(CVE-2019-1713)
    • 危险等级:高
    • BID:108132
    • cve编号:CVE-2019-1713
  • 飞利浦Tasy EMR跨站脚本执行漏洞(CVE-2019-6562)
    • 危险等级:中
    • BID:108120
    • cve编号:CVE-2019-6562
  • IBM Rational Engineering Lifecycle Manager信息泄露漏洞(CVE-2018-1608)
    • 危险等级:高
    • BID:108290
    • cve编号:CVE-2018-1608
  • IBM Planning Analytics跨站脚本执行漏洞(CVE-2018-1933)
    • 危险等级:中
    • BID:108191
    • cve编号:CVE-2018-1933
  • IBM StoredIQ开放重定向漏洞(CVE-2019-4166)
    • 危险等级:中
    • BID:108121
    • cve编号:CVE-2019-4166
  • Ghostscript shading_param远程代码执行漏洞(CVE-2018-15909)
    • 危险等级:高
    • BID:105178
    • cve编号:CVE-2018-15909
  • ImageMagick多个堆缓冲区溢出漏洞(CVE-2019-11597/CVE-2019-11598)
    • 危险等级:高
    • BID:108102
    • cve编号:CVE-2019-11597CVE-2019-11598
  • PHP ext/exif/exif.c堆缓冲区溢出漏洞(CVE-2019-11036)
    • 危险等级:高
    • BID:108177
    • cve编号:CVE-2019-11036
  • IBM API Connect单击劫持漏洞(CVE-2018-2015)
    • 危险等级:中
    • BID:108153
    • cve编号:CVE-2018-2015
  • IBM Sterling B2B Integrator标准版跨站脚本执行漏洞(CVE-2019-4258)
    • 危险等级:中
    • BID:108188
    • cve编号:CVE-2019-4258
  • Spring框架拒绝服务漏洞(CVE-2018-15756)
    • 危险等级:高
    • BID:105703
    • cve编号:CVE-2018-15756
  • Apache ActiveMQ中间人安全绕过漏洞(CVE-2018-11775)
    • 危险等级:高
    • BID:105335
    • cve编号:CVE-2018-11775
  • IBM Sterling B2B Integrator多个信息泄露漏洞(CVE-2019-4146/CVE-2019-4222)
    • 危险等级:中
    • BID:108110
    • cve编号:CVE-2019-4146/CVE-2019-4222
  • QEMU hw/sparc64/sun4u.c拒绝服务漏洞(CVE-2019-5008)
    • 危险等级:高
    • BID:108024
    • cve编号:CVE-2019-5008
  • Microsoft Windows Win32k本地权限提升漏洞(CVE-2019-0859)
    • 危险等级:高
    • BID:107763
    • cve编号:CVE-2019-0859
  • Apache Tika XML外部实体拒绝服务漏洞(CVE-2018-11761)
    • 危险等级:高
    • BID:105514
    • cve编号:CVE-2018-11761
  • Heketi 任意命令执行漏洞(CVE-2019-3899)
    • 危险等级:高
    • BID:108531
    • cve编号:CVE-2019-3899
  • OpenWSMAN信息泄露漏洞(CVE-2019-3816)
    • 危险等级:高
    • BID:107368
    • cve编号:CVE-2019-3816
  • FFmpeg拒绝服务漏洞(CVE-2019-11338)
    • 危险等级:高
    • BID:108034
    • cve编号:CVE-2019-11338
  • FFmpeg拒绝服务漏洞(CVE-2019-11339)
    • 危险等级:高
    • BID:108037
    • cve编号:CVE-2019-11339
  • Kubernetes信息泄露漏洞(CVE-2019-11243)
    • 危险等级:高
    • BID:108053
    • cve编号:CVE-2019-11243
  • ProjectSend upload-process-form.php目录遍历漏洞(CVE-2019-11378)
    • 危险等级:高
    • BID:108069
    • cve编号:CVE-2019-11378
  • Oracle Primavera Unifier跨站脚本执行漏洞(CVE-2016-7103)
    • 危险等级:中
    • BID:104823
    • cve编号:CVE-2016-7103
  • FasterXML Jackson-databind远程代码执行漏洞(CVE-2018-12023)
    • 危险等级:高
    • BID:105659
    • cve编号:CVE-2018-12023
  • Oracle Enterprise Manager Ops Center 远程安全漏洞(CVE-2016-4000)
    • 危险等级:高
    • BID:105647
    • cve编号:CVE-2016-4000
  • Bouncy Castle安全漏洞(CVE-2018-1000180)
    • 危险等级:高
    • BID:106567
    • cve编号:CVE-2018-1000180
  • Pivotal Spring Integration XML外部实体注入漏洞(CVE-2019-3772)
    • 危险等级:高
    • BID:106749
    • cve编号:CVE-2019-3772
  • 多个TIBCO产品信息泄露漏洞(CVE-2017-5533)
    • 危险等级:高
    • BID:101878
    • cve编号:CVE-2017-5533
  • JGroups认证绕过漏洞(CVE-2016-2141)
    • 危险等级:高
    • BID:91481
    • cve编号:CVE-2016-2141
  • 谷歌安卓系统组件多个安全漏洞(CVE-2019-2099/CVE-2019-2098/CVE-2019-2102/CVE-2019-2097)
    • 危险等级:高
    • BID:108554
    • cve编号:CVE-2019-2099/CVE-2019-2098/CVE-2019-2102/CVE-2019-2097
  • 博通WiFi芯片组驱动程序多个堆缓冲区溢出漏洞(CVE-2019-9501/CVE-2019-9502)
    • 危险等级:中
    • BID:108013
    • cve编号:CVE-2019-9501/CVE-2019-9502
  • SAP企业金融服务远程授权绕过漏洞(CVE-2018-2484)
    • 危险等级:高
    • BID:106477
    • cve编号:CVE-2018-2484
  • Microsoft Windows AppX 部署服务不完整修复本地权限提升漏洞(CVE-2019-0841)
    • 危险等级:高
    • BID:108696
    • cve编号:CVE-2019-0841
  • Microsoft Azure DevOps Server欺骗漏洞(CVE-2019-0996)
    • 危险等级:高
    • BID:108707
    • cve编号:CVE-2019-0996
  • SAP BusinessObjects业务情报平台跨站脚本执行漏洞( CVE-2019-0303)
    • 危险等级:中
    • BID:108710
    • cve编号:CVE-2019-0303
  • Adobe Campaign信息泄露漏洞(CVE-2019-7843)
    • 危险等级:中
    • BID:108721
    • cve编号:CVE-2019-7843
  • Adobe Campaign未明命令执行漏洞(CVE-2019-7850)
    • 危险等级:高
    • BID:108722
    • cve编号:CVE-2019-7850
  • SAP Business Client未明安全漏洞(CVE-2018-2398)
    • 危险等级:高
    • BID:104436
    • cve编号:CVE-2018-2398
  • SAP Solution Manager本地信息泄露漏洞(CVE-2019-0291)
    • 危险等级:中
    • BID:108313
    • cve编号:CVE-2019-0291
  • SAP Solution Manager远程信息泄露漏洞(CVE-2019-0307)
    • 危险等级:低
    • BID:108706
    • cve编号:CVE-2019-0307
  • SAP R/3企业应用跨站脚本执行漏洞(CVE-2019-0311)
    • 危险等级:中
    • BID:108704
    • cve编号:CVE-2019-0311
  • SAP NetWeaver Process Integration跨站脚本执行漏洞(CVE-2019-0316)
    • 危险等级:中
    • BID:108705
    • cve编号:CVE-2019-0316
  • SAP NetWeaver Process Integration信息泄露漏洞(CVE-2019-0312)
    • 危险等级:中
    • BID:108703
    • cve编号:CVE-2019-0312
  • SAP NetWeaver Process Integration点击劫持漏洞(CVE-2019-0305)
    • 危险等级:中
    • BID:108702
    • cve编号:CVE-2019-0305
  • SAP Netweaver远程代码注入漏洞(CVE-2019-0304)
    • 危险等级:中
    • BID:108701
    • cve编号:CVE-2019-0304
  • SAP HANA扩展应用服务信息泄露漏洞(CVE-2019-0306)
    • 危险等级:中
    • BID:108699
    • cve编号:CVE-2019-0306
  • SAP E-Commerce 远程代码注入漏洞(CVE-2019-0308)
    • 危险等级:中
    • BID:108700
    • cve编号:CVE-2019-0308
  • Microsoft Windows事件查看器信息泄露漏洞(CVE-2019-0948)
    • 危险等级:中
    • BID:108648
    • cve编号:CVE-2019-0948
  • Microsoft Edge安全绕过漏洞(CVE-2019-1054)
    • 危险等级:中
    • BID:108647
    • cve编号:CVE-2019-1054
  • Microsoft Windows ALPC本地权限提升漏洞(CVE-2019-0943)
    • 危险等级:高
    • BID:108646
    • cve编号:CVE-2019-0943
  • Microsoft Windows IIS Server远程拒绝服务漏洞(CVE-2019-0941)
    • 危险等级:高
    • BID:108644
    • cve编号:CVE-2019-0941
  • Microsoft Windows User Profile Service本地权限提升漏洞(CVE-2019-0986)
    • 危险等级:中
    • BID:108655
    • cve编号:CVE-2019-0986
  • SAP Work and Inventory Manager拒绝服务漏洞(CVE-2019-0314)
    • 危险等级:中
    • BID:108698
    • cve编号:CVE-2019-0314
  • Microsoft Windows LSASS远程拒绝服务漏洞(CVE-2019-0972)
    • 危险等级:高
    • BID:108650
    • cve编号:CVE-2019-0972
  • Microsoft Windows通用日志文件系统本地权限提升漏洞(CVE-2019-0959)
    • 危险等级:中
    • BID:108649
    • cve编号:CVE-2019-0959

(数据来源:绿盟威胁情报中心)

Spread the word. Share this post!

Meet The Author

Leave Comment