微软的Patch Tuesday更新发布了多达95个针对Windows、Office、Skype、IE和Edge浏览器的补丁。其中27个涉及远程代码执行,18个补丁被微软设定为严重(Critical),76个重要(Important),1个中等(Moderate)。其中,最危险的两个漏洞存在于Windows Search功能和处理LNK文件的过程中。

Windows修复两个严重远程代码执行漏洞CVE-2017-8543/8464补丁下载地址

漏洞简介

本月的微软补丁发布,经过安信与诚安全专家研判确认以下两个漏洞需要紧急处置:“震网三代”LNK文件远程代码执行漏洞(CVE-2017-8464)和Windows搜索远程命令执行漏洞(CVE-2017-8543)。

“震网三代”LNK文件远程代码执行漏洞(CVE -2017-8464)可以用于穿透物理隔离网络。微软14日凌晨发布的安全公告,称CVE-2017-8464被国家背景的网络攻击所使用,实施攻击。

该漏洞的原理同2010年美国和以色列入侵并破坏伊朗核设施的震网行动中所使用的、用于穿透核设施中隔离网络的Windows安全漏洞CVE-2010-2568非常相似。它可以很容易地被黑客利用并组装成用于攻击基础设施、存放关键资料的核心隔离系统等的网络武器。

该漏洞是一个微软Windows系统处理LNK文件过程中发生的远程代码执行漏洞。当存在漏洞的电脑被插上存在漏洞文件的U盘时,不需要任何额外操作,漏洞攻击程序就可以借此完全控制用户的电脑系统。该漏洞也可能籍由用户访问网络共享、从互联网下载、拷贝文件等操作被触发和利用攻击。

另一个漏洞,Windows搜索远程代码执行漏洞的补丁,解决了在Windows操作系统中发现的Windows搜索服务(Windows Search Service)的一个远程代码执行漏洞(WSS:Windows中允许用户跨多个Windows服务和客户机搜索的功能)。

微软在同一天发布了Windows XP和Windows Server 2003等Windows不继续支持的版本的补丁,这个修改是为了避免上月发生的WannaCry蠕虫勒索事件的重现。Window XP的补丁更新可以在微软下载中心找到,但不会自动通过Windows推送。

漏洞危害

“震网三代”LNK文件远程代码执行漏洞(CVE-2017-8464)

一个常见的攻击场景是:物理隔离的基础设施、核心网络通常需要使用U盘、移动硬盘等移动存储设备进行数据交换,当有权限物理接触被隔离系统的人员有意或无意(已经被入侵的情况)下,将存在漏洞攻击文件的设备插入被隔离系统,就会使得恶意程序感染并控制被隔离系统。

在 2010 年,据称是美国和以色列的联合行动小组的间谍人员买通伊朗生产浓缩铀的核工厂的技术人员,将含有类似漏洞的U盘插入了控制核工厂工业控制系统的电脑,感染后的电脑继续攻击了离心机设备,导致核原料提炼失败,伊朗的核计划最终失败并可能造成了一定规模的核泄漏事件。

本次的漏洞CVE-2017-8464和2010年的漏洞的原理和能力几乎完全一致。据微软官方发布的消息,该漏洞已经被攻击者利用在真实世界的攻击中。但是此次微软并没有公开是哪个组织或公司向其报告的攻击事件,这一反常的行为很可能是由于攻击方来自具有国家背景的黑客组织,或者被攻击方是具有国家背景的组织或机构。

Windows 搜索远程命令执行漏洞(CVE-2017-8543)

当 Windows 搜索处理内存中的对象时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。攻击者可以安装、查看、更改或删除数据,或者创建具有完全用户权限的新帐户。

为了利用该漏洞,攻击者向Windows搜索服务发送特定SMB消息。访问目标计算机的攻击者可以利用此漏洞提升权限并控制计算机。

在企业场景中,一个未经身份验证的远程攻击者可以远程触发漏洞,通过SMB连接然后控制目标计算机。

漏洞编号

CVE-2017-8464

CVE-2017-8543

影响范围

“震网三代”LNK 文件远程代码执行漏洞(CVE-2017-8464)

该漏洞影响从Win7到最新的Windows 10操作系统,漏洞同样影响操作系统, 但不影响XP 2003系统。具体受影响的操作系统列表如下:

Windows7 (32/64 位)

Windows8 (32/64 位)

Windows8.1(32/64 位)

Windows10 (32/64 位,RTM/TH2/RS1/RS2)

WindowsServer 2008 (32/64/IA64)

WindowsServer 2008 R2 (64/IA64)

WindowsServer 2012

WindowsServer 2012 R2

WindowsServer 2016

WindowsVista

Windows 搜索远程命令执行漏洞(CVE-2017-8543)

具体受影响的操作系统列表如下:

WindowsServer 2016 (Server Core installation)

WindowsServer 2016

WindowsServer 2012 R2 (Server Core installation)

WindowsServer 2012 R2

WindowsServer 2012 (Server Core installation)

WindowsServer 2012

WindowsServer 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

WindowsServer 2008 R2 for x64-based Systems Service Pack 1

WindowsServer 2008 R2 for Itanium-Based Systems Service Pack 1

WindowsServer 2008 for x64-based Systems Service Pack 2 (Server Core installation)

WindowsServer 2008 for x64-based Systems Service Pack 2

WindowsServer 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

WindowsServer 2008 for 32-bit Systems Service Pack 2

WindowsRT 8.1

Windows8.1 for x64-based systems

Windows8.1 for 32-bit systems

Windows7 for x64-based Systems Service Pack 1

Windows7 for 32-bit Systems Service Pack 1

Windows10 Version 1703 for x64-based Systems

Windows10 Version 1703 for 32-bit Systems

Windows10 Version 1607 for x64-based Systems

Windows10 Version 1607 for 32-bit Systems

Windows10 Version 1511 for x64-based Systems

Windows10 Version 1511 for 32-bit Systems

Windows10 for x64-based Systems

Windows10 for 32-bit Systems

WindowsXP

Windows2003

WindowsVista

修复措施

“震网三代”LNK文件远程代码执行漏洞(CVE-2017-8464)

目前微软已经针对除了Windows 8系统外的操作系统提供了官方补丁。

微软官方补丁下载地址:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464

https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

Windows 搜索远程命令执行漏洞(CVE-2017-8543)

目前微软已经提供了官方补丁,稍后我们将提供一键式修复工具。

微软官方补丁下载地址:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543

https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

缓解措施

对于无法及时更新补丁的主机,我们建议采用如下的方式进行缓解:

“震网三代”LNK文件远程代码执行漏洞(CVE-2017-8464)

建议在服务器环境执行以下缓解措施:

禁用U盘、网络共享及关闭Webclient Service。

请管理员关注是否有业务与上述服务相关并做好恢复准备。

Windows搜索远程命令执行漏洞(CVE-2017-8543)

关闭Windows Search服务。

标签:
远程代码执行漏洞,CVE-2017-8543,补丁,微软

免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com

《魔兽世界》大逃杀!60人新游玩模式《强袭风暴》3月21日上线

暴雪近日发布了《魔兽世界》10.2.6 更新内容,新游玩模式《强袭风暴》即将于3月21 日在亚服上线,届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。

艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕,并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时,他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中,玩家将会进入一个全新的海盗主题大逃杀式限时活动,其中包含极高的风险和史诗级的奖励。

《强袭风暴》不是普通的战场,作为一个独立于主游戏之外的活动,玩家可以用大逃杀的风格来体验《魔兽世界》,不分职业、不分装备(除了你在赛局中捡到的),光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式,玩家在加入海盗主题的预赛大厅区域前,可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹,《巨龙崛起》和《魔兽世界:巫妖王之怒 经典版》的玩家都可以获得奖励。