微软在本月例行安全更新中已经向所有受支持的系统发布累积更新用于修复各种已知的错误和安全漏洞等等,在发布累积更新修复后微软也披露被利用的安全漏洞,其中包括被评级为严重级别的Win32K 组件安全漏洞。该漏洞影响Windows 7~Windows 10系统所有版本,包括最新的Windows Server 2019和LTSC2019版等,这也是微软连续第三个月修复Win32K中已经遭到利用的零日漏洞(备注:Win32K 十月、Win32K 十一月)
CVE-2018-8611安全漏洞:
此漏洞依然由卡巴斯基安全实验室监测到,包括 FruityArmor 和 SandCat APT 集团已在野外利用这枚漏洞,攻击者利用内核进程(内核事务管理器)中的全线提升漏洞,可在目标系统上执行具有更高权限的任意代码,该错误是因为内核模式下对文件处理不当而引起的,受影响的涵盖Windows 7~Windows 10所有分支版本。
卡巴斯基表示这个漏洞成功绕过所有现代化的漏洞缓解策略,如 Edge 和谷歌浏览器中使用的沙箱安全策略,配合使用受损的渲染引擎攻击者利用这枚漏洞可以在最先进的网络浏览器中实现完整的远程命令执行利用链。
微软连续三个月修复Win32K零日漏洞:
微软分别在201810、201811以及本月的累积更新中修复Win32K系统组件中已被利用的严重级别零日漏洞,这三枚零日漏洞的原理几乎相同并且也都是权限提升漏洞,攻击者可成功将普通用户权限提升到管理员级别,攻击者也可以通过这些漏洞修改内存中的数据或者安插其他恶意软件,目前已经有多个黑客集团利用此漏洞。例如卡巴斯基发现的中东黑客集团Fruity Armor就在积极开发此漏洞,但通常都是针对数量极少的特定目标。
