1、基本情况
微软发布了例行安全更新,修补了TFTP 服务器、Windows DHCP 客户端漏洞。以下漏洞影响广泛,危害严重,需高度注意:
Windows DHCP 客户端远程执行代码漏洞(CVE-2019-0697、CVE-2019-0698和CVE-2019-0726),利用该漏洞,攻击者可以在DHCP服务中运行任意代码。
Windows 部署服务 TFTP 服务器在处理内存中的对象时存在远程代码执行漏洞(CVE-2019-0603)。攻击者可以创建经特殊设计的请求,提升 Windows 权限,从而执行恶意代码。
2、攻击原理
1) CVE-2019-0697、CVE-2019-0698和CVE-2019-0726:
这是本次修复的三个与DHCP有关的漏洞。国内外有安全研究团队针对上个月修补的DHCP中的CVE-2019-0626发布了技术分析:Windows DHCP Server远程代码执行漏洞分析(CVE-2019-0626);Analyzing a Windows DHCP Server Bug (CVE-2019-0626)。当攻击者向DHCP服务器发送精心设计的数据包并成功利用后,就可以在DHCP服务中执行任意代码。微软发布了针对win10 1803/1809和windows server 2019/1803的补丁。
2) CVE-2019-0603:
Windows Deployment Services TFTP Server处理内存中对象的方式中存在远程执行代码漏洞。利用此漏洞,攻击者可能会创建一个特制的请求,从而导致Windows使用提升的权限执行任意代码。
该漏洞类似于CVE-2018-8476,但这个漏洞在TFTP服务的实现中,而不在TFTP协议本身中。windows发布了从win7到win10的多个版本的补丁。
3、影响范围
1) CVE-2019-0697、CVE-2019-0698和CVE-2019-0726影响范围:
Microsoft win10 1803/1809
Microsoft windows server 2019/1803
2) CVE-2019-0603影响产品:
Server 2008
Server 2008 R2
Server 2012
Server 2012 R2
Server 2016
Server 2019
4、处置建议
Microsoft官方已发布相应漏洞补丁,建议广大用户尽快进行修补。
1) CVE-2019-0697、CVE-2019-0698和CVE-2019-0726相应系统的补丁:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0697
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0698
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0726
2) CVE-2019-0603相应系统的补丁:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0603
5、 参考链接
1) http://new.cnnvd.org.cn/web/bulletin/bulletinById.tag?mkid=137