微软在其重大更新中一次性发布了113个补丁程序，很遗憾，这对于居家办公的IT从业者们来说无疑是一个噩耗，他们本来就因居家办公而备受安全问题多发的困扰。

微软已经发布了2020年4月星期二补丁程序安全更新，这是自在家办公时代真正开始以来的第一个大补丁更新。这真是个愚蠢的做法，这家科技巨头主动向外界透露了自己的113个漏洞。

这些漏洞之中，有19个被评为严重级别，而94个被评为重要级别。至关重要的是，其中四个漏洞正在野外被利用。其中两个以前已公开披露过。

总之，此更新包括针对Microsoft Windows、Microsoft Edge（基于EdgeHTML和基于Chromium的版本）、ChakraCore、Internet Explorer、Microsoft Office、Microsoft Office Services及Web Apps、Windows Defender、Visual Studio、Microsoft Dynamics和适用于Android和Mac的Microsoft Apps。这些系统和软件涉及的领域从信息公开和特权升级到远程代码执行（RCE）和跨站点脚本（XSS）都有。

根据趋势科技中零日活动（ZDI）的数据可知，1月至4月间，Microsoft修补的CVE（英文全称是“Common Vulnerabilities & Exposures”，即通用漏洞披露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称）数量同比增长了44％，这可能是由于越来越多的研究人员投入到寻找错误的工作中，同时产品组合大大扩展也提供了相应的支持。3月，微软的星期二补丁中包含115个更新；2月份，微软修补了99个错误；一月份，微软解决了50个缺陷。

同样在本周，Oracle 修补了多达405个安全漏洞 ，而在另一方面，Adobe表现不佳，4月份仅仅解决了5个CVE。

被积极利用的漏洞们

在零日方面，Microsoft修补了CVE-2020-0968，该漏洞是Internet Explorer中的一个关键级别的内存损坏漏洞，被广泛利用。该错误允许RCE（英文全称:remote command/code execute，远程命令/代码执行），它是由于脚本引擎对内存中对象的不正确处理而导致的漏洞。

Tenable首席研究工程师Satnam Narang对Threatpost说：

在多种情况下均可利用此漏洞。主要方法是对用户进行社交利用，使其访问包含恶意代码的网站，无论该网站是否由攻击者拥有，也有可能是被注入恶意代码的受感染网站。攻击者还可能通过社交手段诱使用户打开嵌入了恶意代码的恶意Microsoft Office文档。

Automox信息安全和研究总监克里斯·海斯（Chris Hass）告诉Threatpost，CVE-2020-0968是一个完美的漏洞，可用于偷渡活动。他解释说：

如果当前用户以管理员身份登录，则攻击者可以托管一个特制网站，并承载此漏洞，一旦未打补丁的用户导航到恶意网站，攻击者便可以利用此错误，使攻击者可以远程访问主机，此错误将使攻击者可以查看、更改、删除数据，甚至允许其在受害者终端安装勒索软件。

Hass补充说，尽管因为IE的用户群稳步下降造成了此漏洞的范围有所限制，它仍然是网络犯罪分子会优先考虑的媒介。

同时，还有两个被积极利用的漏洞是与Windows Adobe Type Manager库相关的RCE问题，该问题被列为重要级别。

第一个CVE-2020-1020已公开。之所以出现这种情况，是因为该库无法正确处理特制的多主字体，即Adobe Type 1 PostScript格式。

ZDI的Dustin Childs在Patch Tuesday的分析中说：“如果攻击者能够说服用户查看特制字体，则攻击者便可以使用此漏洞在受影响的系统上执行代码，代码将在已登录用户的层面运行。”

相关的错误是零日CVE-2020-0938，这是一个RCE漏洞，会影响Windows中的OpenType字体渲染器。同样，如果用户查看了特制字体，则攻击者可以在目标系统上执行代码。

Narang告诉Threatpost，尽管两者是相关的，“目前还没有证实这两者与同一组野外攻击有关。”而至于攻击媒介，Narang补充道，“要利用这些缺陷，攻击者需要对用户进行社交利用，以使其打开恶意文档或在Windows预览窗格中查看该文档。”

这两个错误都已用于Windows 7系统。Childs指出，自从操作系统在今年1月停止支持以来，并非所有Windows 7系统都将收到补丁。

最后还有一个被积极利用的bug（以前尚未公开披露）是CVE-2020-1027，它以Windows内核处理内存中对象的方式存在。微软称，“成功利用此漏洞的攻击者可以提高权限执行代码，”该漏洞被标记为“重要”级别。

要利用此漏洞，攻击者需要通过本地身份验证，并且运行经特殊设计的应用程序。

其他应优先考虑的补丁

微软还修补了几个值得注意的其他错误，研究人员称管理员应在大型更新中优先考虑。

CVE-2020-0935是第二个先前披露的问题，它是一个在Windows的OneDrive中发现的重要级别的特权提升漏洞。它的存在是由于对符号链接（快捷链接）的处理不当造成的，利用该漏洞将使攻击者可以进一步破坏系统，执行可能需要更高特权才能生效的其他有效负载，或者得以访问以前无法获得的个人信息或其他机密信息。

Hass告诉Threatpost：

获得了访问端点权限的攻击者可以使用OneDrive覆盖目标文件，从而导致状态提升。OneDrive非常流行，通常默认情况下会安装在Windows 10上。在个人设备越来越多用于远程工作的当下，它与远程工作结合时，就使得此漏洞的潜在影响范围变得更大了。

ZDI的Childs还标记了一个重要的Windows DNS拒绝服务（DoS）错误CVE-2020-0993，该错误会影响客户端系统。

Childs提到：“攻击者可以通过向受影响的系统发送一些特制的DNS查询，从而导致DNS服务无响应。考虑到未经身份验证的攻击者可能造成的损害，建议大家在为系统做测试和部署的列表中高度关注此类情况。”

还有一个漏洞是CVE-2020-0981。这是一个重要评级很高的绕过Windows令牌安全功能的漏洞，该漏洞产生的主要原因是Windows在Windows 10版本1903及更高版本中无法正确处理令牌关系。

Childs提供了一种解释：很少看到安全功能绕过直接导致沙箱逃逸的情况，但这恰恰是此错误所允许的。攻击者可能滥用此权限，以允许具有特定完整性级别的应用程序以不同的（可能是更高的）完整性级别来执行代码。

严重的SharePoint错误

SharePoint是与Microsoft Office集成的基于Web的协作平台，通常是用作文档管理和存储系统的。而根据微软的建议，本月发现了该平台存在着许多严重的问题，其中包括了四个严重的RCE错误，这是由于该软件未检查应用程序包的源标记而引起的。

发现的名为CVE-2020-0929错误为RCE的发生提供了可能，并且影响了Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Foundation 2010 Service Pack 2、Microsoft SharePoint Foundation 2013 Service Pack 1，以及Microsoft SharePoint Server 2019。

第二个严重错误（CVE-2020-0931）也允许RCE，它会影响Microsoft Business Productivity Servers 2010 Service Pack 2、Microsoft SharePoint Enterprise Server 2013 Service Pack 1、Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Foundation 2013 Service Pack 1，以及Microsoft SharePoint Server 2019。

另一个RCE问题（CVE-2020-0932）则影响了Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Foundation 2013 Service Pack 1、Microsoft SharePoint Server 2019。还有，CVE-2020-0974影响Microsoft SharePoint企业服务器2016和Microsoft SharePoint Server的2019。

Microsoft在个别错误公告中表示，对于所有的RCE错误，“成功利用此漏洞的攻击者可以在SharePoint应用程序池和SharePoint服务器场帐户的上下文中运行任意代码，” 攻击者可以通过将特制的SharePoint应用程序包上载到受影响的SharePoint中来利用其中的任何一个版本。

SharePoint还包含第五个严重错误CVE-2020-0927。这是一个XSS漏洞，会影响Microsoft SharePoint Server 2019和Enterprise Server 2016，并可能导致仿冒情况的发生。

在远程办公时也不可放松对漏洞的解决工作

Automox的高级技术产品经理Richard Melick对Threatpost表示，即使IT和安全组织目前因为新冠病毒大流行而转为远程工作，并因为远程工作而承担了比以往更大的压力，但4月的星期二补丁发布并不是一个可以跳过的事件，至少应该重点关注和解决其中提及的四个被积极利用的错误。

Melick建议：

IT和SecOps经理需要制定一个部署计划，针对日益多样化的技术环境，也针对一系列未知的连接因素，这样才能保证在24小时之内解决当今的零日中已被积极利用的关键漏洞，而其余的漏洞和错误应在72小时之内解决，来确保漏洞和错误在被武器化之前已被解决。毕竟黑客也在争分夺秒的工作，他们与所有人一样，都在时刻努力着。

Melick还提到，由于目前远程办公的模式有可能导致安全疏漏的存在，这些漏洞所造成的后果可能会进一步恶化。

他解释说，由于当今的远程劳动环境以及通过电子邮件或线上文件共享功能来分享文档的必要性，仅需一封仿冒的电子邮件，恶意网站或被利用的文档即可为攻击者打开大门。一旦进入，攻击者将具有修改数据、安装后门或新软件、甚至获得完整用户权限帐户的能力。尽管较旧版本的Windows更容易受到这两种攻击的影响，但Windows 10的采用率仅略高于50％，也给攻击者留下了很多的目标。

Kenna Security研究负责人Jonathan Cran补充说，团队应该为涉及的修补工作做好充足的开销预算。

Cran对Threatpost表示：

鉴于许多组织现在已经转向了远程工作的方式，再加上本周早些时候Oracle更新的当前补丁负载，以及积压的补丁，这对许多安全团队来说似乎是一个繁忙的月份，我们还没有看到在家工作是如何影响补丁率的，但是对于安全团队来说，在远程办公的员工电脑上安装大量的布丁，不论是通过公司的VPN链接到Windows Server Update Services，还是寻求Microsoft System Center Configuration Manager的帮助，都会是一个需要投入大量资源和时间的工作。

本文翻译自：https://threatpost.com/april-patch-tuesday-microsoft-active-exploit/154794/如若转载，请注明原文地址：