微軟的Patch Tuesday更新發(fā)布了多達95個針對Windows���、Office��、Skype��、IE和Edge瀏覽器的補丁��。其中27個涉及遠程代碼執(zhí)行����,18個補丁被微軟設(shè)定為嚴重(Critical),76個重要(Important)����,1個中等(Moderate)。其中���,最危險的兩個漏洞存在于Windows Search功能和處理LNK文件的過程中�����。
漏洞簡介
本月的微軟補丁發(fā)布,經(jīng)過安信與誠安全專家研判確認以下兩個漏洞需要緊急處置:“震網(wǎng)三代”LNK文件遠程代碼執(zhí)行漏洞(CVE-2017-8464)和Windows搜索遠程命令執(zhí)行漏洞(CVE-2017-8543)�����。
“震網(wǎng)三代”LNK文件遠程代碼執(zhí)行漏洞(CVE -2017-8464)可以用于穿透物理隔離網(wǎng)絡(luò)�。微軟14日凌晨發(fā)布的安全公告,稱CVE-2017-8464被國家背景的網(wǎng)絡(luò)攻擊所使用���,實施攻擊����。
該漏洞的原理同2010年美國和以色列入侵并破壞伊朗核設(shè)施的震網(wǎng)行動中所使用的、用于穿透核設(shè)施中隔離網(wǎng)絡(luò)的Windows安全漏洞CVE-2010-2568非常相似�。它可以很容易地被黑客利用并組裝成用于攻擊基礎(chǔ)設(shè)施、存放關(guān)鍵資料的核心隔離系統(tǒng)等的網(wǎng)絡(luò)武器�。
該漏洞是一個微軟Windows系統(tǒng)處理LNK文件過程中發(fā)生的遠程代碼執(zhí)行漏洞。當存在漏洞的電腦被插上存在漏洞文件的U盤時�����,不需要任何額外操作�����,漏洞攻擊程序就可以借此完全控制用戶的電腦系統(tǒng)�。該漏洞也可能籍由用戶訪問網(wǎng)絡(luò)共享、從互聯(lián)網(wǎng)下載�、拷貝文件等操作被觸發(fā)和利用攻擊。
另一個漏洞���,Windows搜索遠程代碼執(zhí)行漏洞的補丁��,解決了在Windows操作系統(tǒng)中發(fā)現(xiàn)的Windows搜索服務(wù)(Windows Search Service)的一個遠程代碼執(zhí)行漏洞(WSS:Windows中允許用戶跨多個Windows服務(wù)和客戶機搜索的功能)�����。
微軟在同一天發(fā)布了Windows XP和Windows Server 2003等Windows不繼續(xù)支持的版本的補丁����,這個修改是為了避免上月發(fā)生的WannaCry蠕蟲勒索事件的重現(xiàn)。Window XP的補丁更新可以在微軟下載中心找到�,但不會自動通過Windows推送。
漏洞危害
“震網(wǎng)三代”LNK文件遠程代碼執(zhí)行漏洞(CVE-2017-8464)
一個常見的攻擊場景是:物理隔離的基礎(chǔ)設(shè)施�、核心網(wǎng)絡(luò)通常需要使用U盤、移動硬盤等移動存儲設(shè)備進行數(shù)據(jù)交換�����,當有權(quán)限物理接觸被隔離系統(tǒng)的人員有意或無意(已經(jīng)被入侵的情況)下����,將存在漏洞攻擊文件的設(shè)備插入被隔離系統(tǒng),就會使得惡意程序感染并控制被隔離系統(tǒng)�。
在 2010 年,據(jù)稱是美國和以色列的聯(lián)合行動小組的間諜人員買通伊朗生產(chǎn)濃縮鈾的核工廠的技術(shù)人員���,將含有類似漏洞的U盤插入了控制核工廠工業(yè)控制系統(tǒng)的電腦,感染后的電腦繼續(xù)攻擊了離心機設(shè)備��,導(dǎo)致核原料提煉失敗,伊朗的核計劃最終失敗并可能造成了一定規(guī)模的核泄漏事件����。
本次的漏洞CVE-2017-8464和2010年的漏洞的原理和能力幾乎完全一致。據(jù)微軟官方發(fā)布的消息�,該漏洞已經(jīng)被攻擊者利用在真實世界的攻擊中。但是此次微軟并沒有公開是哪個組織或公司向其報告的攻擊事件��,這一反常的行為很可能是由于攻擊方來自具有國家背景的黑客組織���,或者被攻擊方是具有國家背景的組織或機構(gòu)��。
Windows 搜索遠程命令執(zhí)行漏洞(CVE-2017-8543)
當 Windows 搜索處理內(nèi)存中的對象時��,存在遠程代碼執(zhí)行漏洞�����。成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)����。攻擊者可以安裝��、查看���、更改或刪除數(shù)據(jù)���,或者創(chuàng)建具有完全用戶權(quán)限的新帳戶��。
為了利用該漏洞��,攻擊者向Windows搜索服務(wù)發(fā)送特定SMB消息����。訪問目標計算機的攻擊者可以利用此漏洞提升權(quán)限并控制計算機��。
在企業(yè)場景中�,一個未經(jīng)身份驗證的遠程攻擊者可以遠程觸發(fā)漏洞,通過SMB連接然后控制目標計算機��。
漏洞編號
CVE-2017-8464
CVE-2017-8543
影響范圍
“震網(wǎng)三代”LNK 文件遠程代碼執(zhí)行漏洞(CVE-2017-8464)
該漏洞影響從Win7到最新的Windows 10操作系統(tǒng)�����,漏洞同樣影響操作系統(tǒng)�����, 但不影響XP 2003系統(tǒng)�。具體受影響的操作系統(tǒng)列表如下:
Windows7 (32/64 位)
Windows8 (32/64 位)
Windows8.1(32/64 位)
Windows10 (32/64 位,RTM/TH2/RS1/RS2)
WindowsServer 2008 (32/64/IA64)
WindowsServer 2008 R2 (64/IA64)
WindowsServer 2012
WindowsServer 2012 R2
WindowsServer 2016
WindowsVista
Windows 搜索遠程命令執(zhí)行漏洞(CVE-2017-8543)
具體受影響的操作系統(tǒng)列表如下:
WindowsServer 2016 (Server Core installation)
WindowsServer 2016
WindowsServer 2012 R2 (Server Core installation)
WindowsServer 2012 R2
WindowsServer 2012 (Server Core installation)
WindowsServer 2012
WindowsServer 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
WindowsServer 2008 R2 for x64-based Systems Service Pack 1
WindowsServer 2008 R2 for Itanium-Based Systems Service Pack 1
WindowsServer 2008 for x64-based Systems Service Pack 2 (Server Core installation)
WindowsServer 2008 for x64-based Systems Service Pack 2
WindowsServer 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
WindowsServer 2008 for 32-bit Systems Service Pack 2
WindowsRT 8.1
Windows8.1 for x64-based systems
Windows8.1 for 32-bit systems
Windows7 for x64-based Systems Service Pack 1
Windows7 for 32-bit Systems Service Pack 1
Windows10 Version 1703 for x64-based Systems
Windows10 Version 1703 for 32-bit Systems
Windows10 Version 1607 for x64-based Systems
Windows10 Version 1607 for 32-bit Systems
Windows10 Version 1511 for x64-based Systems
Windows10 Version 1511 for 32-bit Systems
Windows10 for x64-based Systems
Windows10 for 32-bit Systems
WindowsXP
Windows2003
WindowsVista
修復(fù)措施
“震網(wǎng)三代”LNK文件遠程代碼執(zhí)行漏洞(CVE-2017-8464)
目前微軟已經(jīng)針對除了Windows 8系統(tǒng)外的操作系統(tǒng)提供了官方補丁���。
微軟官方補丁下載地址:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
Windows 搜索遠程命令執(zhí)行漏洞(CVE-2017-8543)
目前微軟已經(jīng)提供了官方補丁�,稍后我們將提供一鍵式修復(fù)工具��。
微軟官方補丁下載地址:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
緩解措施
對于無法及時更新補丁的主機����,我們建議采用如下的方式進行緩解:
“震網(wǎng)三代”LNK文件遠程代碼執(zhí)行漏洞(CVE-2017-8464)
建議在服務(wù)器環(huán)境執(zhí)行以下緩解措施:
禁用U盤、網(wǎng)絡(luò)共享及關(guān)閉Webclient Service�。
請管理員關(guān)注是否有業(yè)務(wù)與上述服務(wù)相關(guān)并做好恢復(fù)準備。
Windows搜索遠程命令執(zhí)行漏洞(CVE-2017-8543)
關(guān)閉Windows Search服務(wù)��。
