信息安全周报-2019年第32周

发布时间 2019-08-19

> 本周安全态势综述



2019年8月12日至18日共收录安全漏洞55个,值得关注的是微软 Windows Remote Desktop Services CVE-2019-1181内存破坏代码实行漏洞;微软 Bluetooth Driver BR/EDR密钥协商漏洞;Adobe Photoshop CC多个堆溢出漏洞;SAS Web Infrastructure Platform反序列化远程代码实行漏洞;Apache httpd mod_http2内存错误应用拒绝服务漏洞。


本周值得关注的网络安全事件是MicroSoft多个供应商的40多个驱动程序存在提权漏洞;Sweet Chat意外泄露近1000万用户的照片及聊天内容;MicroSoft修复RDP服务中的新蠕虫级漏洞;HTTP/2曝出8个新漏洞,可用于发起DoS攻击;卡巴斯基杀软中的漏洞可允许跨站点跟踪用户。


根据以上综述,本周安全威胁为中。



> 重要安全漏洞列表



1. 微软 Windows Remote Desktop Services CVE-2019-1181内存破坏代码实行漏洞


微软 Windows Remote Desktop Services存在内存破坏漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1181

2. 微软 Bluetooth Driver BR/EDR密钥协商漏洞


微软 Bluetooth Driver BR/EDR密钥协商存在安全漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,将最大16字节长度的密钥协商降到1字节熵,可获取敏感信息。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-9506

3. Adobe Photoshop CC多个堆溢出漏洞


Adobe Photoshop CC处理文件存在堆溢出漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可以应用程序上下文实行任意代码。
https://helpx.adobe.com/security/products/photoshop/apsb19-44.html

4. SAS Web Infrastructure Platform反序列化远程代码实行漏洞


SAS Web Infrastructure Platform存在反序列化漏洞,允许远程攻击者可以利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。
http://support.sas.com/kb/63/391.html

5. Apache httpd mod_http2内存错误应用拒绝服务漏洞


Apache httpd mod_http2 HTTP/2会话处理存在内存错误引用漏洞,允许远程攻击者利用漏洞提交特殊的请求,可进行拒绝服务攻击。
http://httpd.apache.org/security/vulnerabilities_24.html


> 重要安全事件综述



1、MicroSoft多个供应商的40多个驱动程序存在提权漏洞



Eclypsium研究人员披露超过20家MicroSoft供应商提供的40多个Windows驱动程序存在提权漏洞,可能会被黑客利用。受影响的厂商包括知名BIOS厂商及各大硬件供应商,例如华硕、东芝、Intel、技嘉、Nvidia、HUAWEI等。由于这些驱动都经过了MicroSoft认证,因此恶意程序可以利用它们从用户空间(Ring3)提权至内核权限(Ring0)。Eclypsium表示这些驱动影响了所有版本的Windows,这意味着至少数百万用户面临风险。Intel和HUAWEI等已经发布了相关修复补丁。

原文链接:https://www.bleepingcomputer.com/news/security/over-40-windows-hardware-drivers-vulnerable-to-privilege-escalation/

2、Sweet Chat意外泄露近1000万用户的照片及聊天内容



安全研究员Darryl Burke发现聊天应用Sweet Chat的一个不安全的服务器暴露了超过1000万用户的敏感信息,这些信息包括实时聊天内容以及私人照片等。Burke表示任何拥有MQTT攻击工具的人都可以在线查看这些信息。研究人员于7月21日通知了该企业,但该企业直至8月12日才对该服务器进行了临时修复。

原文链接:https://blog.burke-consulting.net/sweet-chat/

3、MicroSoft修复RDP服务中的新蠕虫级漏洞



MicroSoft在8月份的Windows安全更新中修复了94个漏洞,其中包括4个新的RDP远程代码实行漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226)。其中CVE-2019-1181和CVE-2019-1182与5月份曝出的BlueKeep漏洞(CVE-2019-0708)类似,可实现蠕虫化攻击,受影响的系统版本包括win 7 SP1、win 8.1、win 10以及windows server 2008 R2 SP1、2012、2012 R2、2016及2019等。XP、windows server 2003及2008不受影响。目前尚未发现这些漏洞在野外被利用,但MicroSoft强烈建议用户尽快更新修复补丁。

原文链接:https://www.bleepingcomputer.com/news/security/microsoft-fixes-critical-windows-10-wormable-remote-desktop-flaws/

4、HTTP/2曝出8个新漏洞,可用于发起DoS攻击



研究人员披露HTTP/2协议实现中的8个新漏洞,攻击者可利用这些漏洞向未修补的服务器发起拒绝服务攻击。这些漏洞(CVE-2019-9511~CVE-2019-9518)是由Netflix研究员Jonathan Looney以及谷歌研究员Piotr Sikora发现的,可用于触发服务器的资源耗尽,但不能用于入侵服务器。根据CERT发布的公告,受影响的厂商包括NGINX、Apache、H2O、Nghttp2、微软(IIS)、Cloudflare、Akamai、Apple(SwiftNIO)、亚马逊、脸书(Proxygen)、Node.js以及Envoy proxy,大多数厂商都已经发布了修复补丁。

原文链接:https://thehackernews.com/2019/08/http2-dos-vulnerability.html

5、卡巴斯基杀软中的漏洞可允许跨站点跟踪用户


安全研究员Ronald Eikenberg发现卡巴斯基的杀毒App存在一个漏洞(CVE-2019-8286),可允许恶意站点或第三方服务跨站点跟踪用户。该漏洞存在于一个名为Kaspersky URL Advisor的网址扫描模块中,该模块在用户浏览的网页中注入UUID来标记用户,但恶意网站可获取该UUID并跟踪用户。在接到报告后,卡巴斯基将该UUID更改为一个常量。

原文链接:https://thehackernews.com/2019/08/kaspersky-antivirus-online-tracking.html