【高危漏洞预警】第35期:Windows Search远程代码执行漏洞/Windows LNK文件代码执行漏洞
↑ 点击上方“安全狗”关注我们
微软今天发布了本月的补丁,其中有两个涉及到的漏洞需要紧急处置:
Windows 搜索远程命令执行漏洞(CVE-2017-8543)
”震网三代”LNK 文件远程代码执行漏洞(CVE-2017-8464)
Windows 搜索远程命令执行漏洞
当 Windows 搜索处理内存中的对象时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。攻击者可以安装、查看、更改或删除据,或者创建具有完全用户权限的新帐户。
为了利用该漏洞,攻击者向 Windows 搜索服务发送特定 SMB 消息。访问目标计算机的攻击者可以利用此漏洞提升权限并控制计算机。在企业场景中,一个未经身份验证的远程攻击者可以远程触发漏洞,通过SMB 连接然后控制目标计算机。
”震网三代”LNK 文件远程代码执行漏洞
“震网三代”LNK 文件远程代码执行漏洞(cve-2017-8464)可以用于穿透物理隔离网络。微软 14 日凌晨发布的安全公告,称 CVE-2017-8464 被国家背景的网络攻击所使用,实施攻击。
该漏洞的原理同 2010 年美国和以色列入侵并破坏伊朗核设施的震网行动中所使用的、用于穿透核设施中隔离网络的 Windows 安全漏洞 CVE-2010-2568 非常相似。它可以很容易地被黑客利用并组装成用于攻击基础设施、存放关键资料的核心隔离系统等的网络武器。
本次漏洞涉及到的范围
Windows 搜索远程命令执行漏洞(CVE-2017-8543)
具体受影响的操作系统列表如下:
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core
installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core
installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows XP
Windows 2003
Windows Vista
“震网三代”LNK 文件远程代码执行漏洞(CVE-2017-8464)
该漏洞影响从Win7到最新的Windows 10操作系统,漏洞同样影响操作系统,但不影响XP/2003 系统。
具体受影响的操作系统列表如下:
Windows 7 (32/64 位)
Windows 8 (32/64 位)
Windows 8.1(32/64 位)
Windows 10 (32/64 位,RTM/TH2/RS1/RS2)
Windows Server 2008 (32/64/IA64)
Windows Server 2008 R2 (64/IA64)
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Vista
应对措施
用户除通过官方途径获取补丁外,也可以通过服务器安全狗、云垒、服云平台等方式获取补丁。
暂时无法及时更新补丁的主机,可以采用如下的方式进行缓解:
Windows 搜索远程命令执行漏洞(CVE-2017-8543)
关闭 Windows Search 服务
“震网三代”LNK 文件远程代码执行漏洞(CVE-2017-8464)
建议在服务器环境执行以下缓解措施:
禁用 U 盘、网络共享及关闭 Webclient service
请管理员关注是否有业务与上述服务相关并做好恢复准备。
安全狗将持续关注该事件进展,并第一时间为您更新该漏洞信息。
往期精彩文章:
网络安全讲坛第一期举办 安全狗CEO讲解网络安全事件如何处理
2017网络安全年会召开 安全狗获CNCERT省级支撑单位称号