微軟的Patch Tuesday更新發(fā)布了多達95個針對Windows、Office�����、Skype��、IE和Edge瀏覽器的補丁����。其中27個涉及遠程代碼執(zhí)行,18個補丁被微軟設定為嚴重(Critical)��,76個重要(Important)�����,1個中等(Moderate)�����。其中�,最危險的兩個漏洞存在于Windows Search功能和處理LNK文件的過程中。
漏洞簡介
本月的微軟補丁發(fā)布��,經(jīng)過安信與誠安全專家研判確認以下兩個漏洞需要緊急處置:“震網(wǎng)三代”LNK文件遠程代碼執(zhí)行漏洞(CVE-2017-8464)和Windows搜索遠程命令執(zhí)行漏洞(CVE-2017-8543)��。
“震網(wǎng)三代”LNK文件遠程代碼執(zhí)行漏洞(CVE -2017-8464)可以用于穿透物理隔離網(wǎng)絡����。微軟14日凌晨發(fā)布的安全公告,稱CVE-2017-8464被國家背景的網(wǎng)絡攻擊所使用���,實施攻擊����。
該漏洞的原理同2010年美國和以色列入侵并破壞伊朗核設施的震網(wǎng)行動中所使用的�����、用于穿透核設施中隔離網(wǎng)絡的Windows安全漏洞CVE-2010-2568非常相似�����。它可以很容易地被黑客利用并組裝成用于攻擊基礎(chǔ)設施�、存放關(guān)鍵資料的核心隔離系統(tǒng)等的網(wǎng)絡武器。
該漏洞是一個微軟Windows系統(tǒng)處理LNK文件過程中發(fā)生的遠程代碼執(zhí)行漏洞����。當存在漏洞的電腦被插上存在漏洞文件的U盤時,不需要任何額外操作,漏洞攻擊程序就可以借此完全控制用戶的電腦系統(tǒng)����。該漏洞也可能籍由用戶訪問網(wǎng)絡共享、從互聯(lián)網(wǎng)下載��、拷貝文件等操作被觸發(fā)和利用攻擊�����。
另一個漏洞����,Windows搜索遠程代碼執(zhí)行漏洞的補丁,解決了在Windows操作系統(tǒng)中發(fā)現(xiàn)的Windows搜索服務(Windows Search Service)的一個遠程代碼執(zhí)行漏洞(WSS:Windows中允許用戶跨多個Windows服務和客戶機搜索的功能)�����。
微軟在同一天發(fā)布了Windows XP和Windows Server 2003等Windows不繼續(xù)支持的版本的補丁���,這個修改是為了避免上月發(fā)生的WannaCry蠕蟲勒索事件的重現(xiàn)����。Window XP的補丁更新可以在微軟下載中心找到���,但不會自動通過Windows推送��。
漏洞危害
“震網(wǎng)三代”LNK文件遠程代碼執(zhí)行漏洞(CVE-2017-8464)
一個常見的攻擊場景是:物理隔離的基礎(chǔ)設施����、核心網(wǎng)絡通常需要使用U盤���、移動硬盤等移動存儲設備進行數(shù)據(jù)交換����,當有權(quán)限物理接觸被隔離系統(tǒng)的人員有意或無意(已經(jīng)被入侵的情況)下���,將存在漏洞攻擊文件的設備插入被隔離系統(tǒng)��,就會使得惡意程序感染并控制被隔離系統(tǒng)����。
在 2010 年���,據(jù)稱是美國和以色列的聯(lián)合行動小組的間諜人員買通伊朗生產(chǎn)濃縮鈾的核工廠的技術(shù)人員�,將含有類似漏洞的U盤插入了控制核工廠工業(yè)控制系統(tǒng)的電腦����,感染后的電腦繼續(xù)攻擊了離心機設備����,導致核原料提煉失敗�,伊朗的核計劃最終失敗并可能造成了一定規(guī)模的核泄漏事件。
本次的漏洞CVE-2017-8464和2010年的漏洞的原理和能力幾乎完全一致��。據(jù)微軟官方發(fā)布的消息��,該漏洞已經(jīng)被攻擊者利用在真實世界的攻擊中���。但是此次微軟并沒有公開是哪個組織或公司向其報告的攻擊事件��,這一反常的行為很可能是由于攻擊方來自具有國家背景的黑客組織�,或者被攻擊方是具有國家背景的組織或機構(gòu)���。
Windows 搜索遠程命令執(zhí)行漏洞(CVE-2017-8543)
當 Windows 搜索處理內(nèi)存中的對象時��,存在遠程代碼執(zhí)行漏洞�����。成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)��。攻擊者可以安裝��、查看��、更改或刪除數(shù)據(jù)�����,或者創(chuàng)建具有完全用戶權(quán)限的新帳戶�。
為了利用該漏洞���,攻擊者向Windows搜索服務發(fā)送特定SMB消息����。訪問目標計算機的攻擊者可以利用此漏洞提升權(quán)限并控制計算機���。
在企業(yè)場景中����,一個未經(jīng)身份驗證的遠程攻擊者可以遠程觸發(fā)漏洞�����,通過SMB連接然后控制目標計算機。
漏洞編號
CVE-2017-8464
CVE-2017-8543
影響范圍
“震網(wǎng)三代”LNK 文件遠程代碼執(zhí)行漏洞(CVE-2017-8464)
該漏洞影響從Win7到最新的Windows 10操作系統(tǒng)��,漏洞同樣影響操作系統(tǒng)���, 但不影響XP 2003系統(tǒng)�。具體受影響的操作系統(tǒng)列表如下:
Windows7 (32/64 位)
Windows8 (32/64 位)
Windows8.1(32/64 位)
Windows10 (32/64 位�,RTM/TH2/RS1/RS2)
WindowsServer 2008 (32/64/IA64)
WindowsServer 2008 R2 (64/IA64)
WindowsServer 2012
WindowsServer 2012 R2
WindowsServer 2016
WindowsVista
Windows 搜索遠程命令執(zhí)行漏洞(CVE-2017-8543)
具體受影響的操作系統(tǒng)列表如下:
WindowsServer 2016 (Server Core installation)
WindowsServer 2016
WindowsServer 2012 R2 (Server Core installation)
WindowsServer 2012 R2
WindowsServer 2012 (Server Core installation)
WindowsServer 2012
WindowsServer 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
WindowsServer 2008 R2 for x64-based Systems Service Pack 1
WindowsServer 2008 R2 for Itanium-Based Systems Service Pack 1
WindowsServer 2008 for x64-based Systems Service Pack 2 (Server Core installation)
WindowsServer 2008 for x64-based Systems Service Pack 2
WindowsServer 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
WindowsServer 2008 for 32-bit Systems Service Pack 2
WindowsRT 8.1
Windows8.1 for x64-based systems
Windows8.1 for 32-bit systems
Windows7 for x64-based Systems Service Pack 1
Windows7 for 32-bit Systems Service Pack 1
Windows10 Version 1703 for x64-based Systems
Windows10 Version 1703 for 32-bit Systems
Windows10 Version 1607 for x64-based Systems
Windows10 Version 1607 for 32-bit Systems
Windows10 Version 1511 for x64-based Systems
Windows10 Version 1511 for 32-bit Systems
Windows10 for x64-based Systems
Windows10 for 32-bit Systems
WindowsXP
Windows2003
WindowsVista
修復措施
“震網(wǎng)三代”LNK文件遠程代碼執(zhí)行漏洞(CVE-2017-8464)
目前微軟已經(jīng)針對除了Windows 8系統(tǒng)外的操作系統(tǒng)提供了官方補丁。
微軟官方補丁下載地址:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
Windows 搜索遠程命令執(zhí)行漏洞(CVE-2017-8543)
目前微軟已經(jīng)提供了官方補丁�����,稍后我們將提供一鍵式修復工具�����。
微軟官方補丁下載地址:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
緩解措施
對于無法及時更新補丁的主機�����,我們建議采用如下的方式進行緩解:
“震網(wǎng)三代”LNK文件遠程代碼執(zhí)行漏洞(CVE-2017-8464)
建議在服務器環(huán)境執(zhí)行以下緩解措施:
禁用U盤�、網(wǎng)絡共享及關(guān)閉Webclient Service。
請管理員關(guān)注是否有業(yè)務與上述服務相關(guān)并做好恢復準備�。
Windows搜索遠程命令執(zhí)行漏洞(CVE-2017-8543)
關(guān)閉Windows Search服務。
