微軟公司于2017年7月周二補丁日修復了微軟產品和服務中50多個漏洞，包括19個關鍵漏洞以及針對Windows NTLM的重要補丁。

[[197086]]

根據Rapid7公司高級安全研究人員Greg Wiseman表示，“本月修復的大多數關鍵漏洞都涉及客戶端系統，其中修復了針對微軟Edge瀏覽器的14個獨立的遠程代碼執行(RCE)問題以及針對IE瀏覽器的5個問題。3個Adobe Flash Player漏洞其中一個漏洞也得以修復，這也是關鍵RCE漏洞(CVE-2017-3099)。在修復的54個微軟CVE中，33個涉及Edge，14個與IE瀏覽器有關。”

在本次補丁星期二中解決的最大安全問題之一是CVE-2017-8589，這是Windows Search服務中的漏洞，它可通過Windows服務器消息塊(SMB)協議被利用。

“這個漏洞可通過SMB被遠程利用以完全控制系統，并可能影響服務器和工作站。這個問題影響到Windows Server 2016、2012、2008 R2、2008以及Windows 10、7和8.1等桌面系統，”Qualys公司產品管理主管Jimmy Graham在一篇博文中寫道，“雖然此漏洞可利用SMB作為攻擊媒介，但這并不是SMB本身的漏洞，它與最近EternalBlue、WannaCry和Petya利用的SMB漏洞無關。”

Wiseman補充說，這個漏洞“通常需要訪問目標計算機”，但由于攻擊向量通過SMB協議，使得它變得更加危險。

Windows NTLM漏洞

Tripwire公司安全研究人員Craig Young表示，除了各種重要Windows漏洞外，7月補丁星期二還包括一個針對Windows NT LAN Manger(NTLM)身份驗證的修復補丁，這需要企業工作人員的更多關注。

Preempt研究小組發現并向微軟報告了兩個影響Windows NTLM的漏洞，NTLM是一套傳統身份驗證協議，在Windows 2000中被Kerberos取代，但NTLM仍然可用以作為Windows身份驗證API內向后兼容的一部分。

根據行為身份驗證供應商Preempt安全研究人員Yaron Zinar表示，“這些問題特別重要，因為它們可允許攻擊者創建新的域管理員賬戶，即使企業啟用了LDAP服務器簽名和RDDP受限管理模式等最佳做法控制。”

Young稱對付該漏洞需要的不僅僅是補丁。

“對于這個漏洞，值得注意的是，當從Kerberos回退到NTLM身份驗證時它允許特權升級，”他表示，“在客戶端安裝該補丁后，還必須對域控制器進行額外的更改以實際緩解該漏洞。如果沒有該補丁，這種緩解將破壞身份驗證，而如果不進行額外操作，漏洞仍然會存在。”

Graham稱，對于這些Windows NTLM漏洞的擔憂是“成功的漏洞利用將允許攻擊者訪問域控制器，這可讓其完全控制受攻擊的網絡。一般來說，對任何漏洞的協調完全披露是非常好的事情，這個過程有助于提高總體安全性，并使消費者有機會對風險和威脅進行更好的評估。”

端點安全供應商Ivanti產品經理Chris Goettl稱，Preempt發現的Windows NTLM漏洞“并不是小問題，但它們可能比實際得到更多炒作”。

“當然，Preempt將利用這一機會作為營銷機會，該公司已經進行了研究投資，并獲得展示其價值的絕佳機會，”Goettl表示，“據稱，在這些更新發布之前，已經有4個公開披露(不是這兩個漏洞)，這使得攻擊者可利用額外的時間以在公司部署補丁之前利用這些漏洞。還有另一個Windows Search漏洞利用可通過SMB被遠程利用，其CVSS評分比Preempt提到的漏洞更高。”

其他補丁

專家表示，在7月補丁星期二中還有其他有趣的補丁值得大家關注。

Core Security公司安全研究人員Bobby Kuzma指出針對微軟Office的CVE-2017-8570是一個奇怪的漏洞。

“這個漏洞很奇怪，它影響著2013 RT版本的平板電腦和手機，它們是ARM設備(以及32位和64位版本)Office 2007、2010、2013和2016，”Kuzma稱，“很少看到如此跨架構的漏洞，這表明這是在普通的中間件層。”

專家還指出CVE-2017-8584值得注意，因為這是微軟為其HoloLens耳機發布的第一個補丁。

Kuzma稱：“新興增加現實小工具中的RCE，這說明我們真正生活在未來。”