微软紧急发布带外安全更新，究竟发生了什么？

解决CVE-2019-1367和CVE-2019-1255

微软今天发布了紧急带外安全更新，以修复两个关键的安全问题-一个在Internet Explorer脚本引擎中被零日利用的零日漏洞和一个Microsoft Defender错误。

这些更新之所以能脱颖而出，是因为Microsoft通常喜欢坚持到底，只在每个月的第二个星期二发布安全更新。该公司很少打破这种模式，通常仅用于非常重要的安全问题。

这是那些罕见的情况之一，建议Windows用户尽快安装今天的更新。IE零时差的修补程序是手动更新，而Defender错误将通过无提示更新进行修补。

IE 0day

在这两个错误中，Internet Explorer的“零日”是最重要的一个，主要是因为它已经被野外的主动攻击所利用。

有关攻击的详细信息仍笼罩在神秘之中，Microsoft很少发布此类详细信息。我们所知道的是，谷歌威胁分析小组的成员克莱蒙·莱西尼（ClémentLecigne）已将攻击和零时差报告给了微软。

这是与Google威胁情报小组相同的团队，该小组已于今年早些时候检测到iOS 0天针对中国维吾尔族成员的攻击。这些攻击还针对Android和Windows用户 ; 但是，目前尚不清楚今天修补的IE零日漏洞是否属于这些攻击的一部分。

但是我们现在知道的是IE零日漏洞是一个非常严重的漏洞。这就是研究人员所说的远程代码执行（RCE）问题。

根据微软的说法，“该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。”

微软说：“成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。” “如果当前用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以控制受影响的系统。然后，攻击者可以安装程序；查看，更改或删除数据；或者创建具有完整用户权限的新帐户权利“。

攻击需要诱使Internet Explorer用户访问恶意网站，这是一项微不足道的任务，因为可以通过多种方法来实现此目的，例如垃圾邮件，IM垃圾邮件，搜索引擎广告，恶意广告活动等。

好消息是，根据StatCounter的说法，Internet Explorer的使用率已下降到1.97％，这意味着容易受到攻击的用户数量很少，并且攻击范围应非常有限。

使用CVE-2019-1367标识符跟踪IE的零日活动。如果不能立即应用今天的更新，Microsoft 在安全公告中列出了各种保护系统的变通办法。该安全通报还包含指向手动更新程序包的链接，Windows用户将需要从Microsoft Update Catalog下载这些更新程序并手动在其系统上运行。IE零日补丁将无法通过Windows Update获得。

MICROSOFT DEFENDER DOS错误

今天修复的第二个问题是Microsoft Defender中的一个拒绝服务（DoS）漏洞，该漏洞以前称为Windows Defender，它是Windows 8和更高版本（包括广泛的Windows 10版本）附带的标准防病毒软件。

微软表示，“攻击者可以利用此漏洞阻止合法帐户执行合法的系统二进制文件。”

好消息是此错误不是一个大问题。要利用此错误，攻击者首先需要访问受害者的系统并具有执行代码的能力。

该错误使威胁参与者可以禁用Microsoft Defender组件的执行，但是，如果攻击者已经在受害者的计算机上拥有“执行权”，那么还有许多其他方法可以运行未被发现的恶意代码-例如无文件攻击。

但是，Microsoft已发布了针对Microsoft Malware Protection Engine（Microsoft Defender防病毒组件）的更新v1.1.16400.2，以解决此问题。

此错误的跟踪记录为CVE-2019-1255。微软将此功劳归功于F-Secure Countercept的Charalampos Billinis和腾讯安全宣武实验室的Wenxu Wu。