微軟本周6月13日發(fā)布了本月的補(bǔ)丁,其中有兩個(gè)涉及到的漏洞需要緊急處置:
Windows 搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)
“震網(wǎng)三代”LNK 文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)
一、背景信息
1、Windows 搜索遠(yuǎn)程命令執(zhí)行漏洞
當(dāng) Windows 搜索處理內(nèi)存中的對(duì)象時(shí),存在遠(yuǎn)程代碼執(zhí)行漏洞。成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)。攻擊者可以安裝、查看、更改或刪除據(jù),或者創(chuàng)建具有完全用戶權(quán)限的新帳戶。
為了利用該漏洞,攻擊者向 Windows 搜索服務(wù)發(fā)送特定 SMB 消息。訪問目標(biāo)計(jì)算機(jī)的攻擊者可以利用此漏洞提升權(quán)限并控制計(jì)算機(jī)。在企業(yè)場(chǎng)景中,一個(gè)未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以遠(yuǎn)程觸發(fā)漏洞,通過SMB 連接然后控制目標(biāo)計(jì)算機(jī)。
2、“震網(wǎng)三代”LNK 文件遠(yuǎn)程代碼執(zhí)行漏洞
“震網(wǎng)三代”LNK 文件遠(yuǎn)程代碼執(zhí)行漏洞(cve-2017-8464)可以用于穿透物理隔離網(wǎng)絡(luò)。微軟 14 日凌晨發(fā)布的安全公告,稱 CVE-2017-8464 被國(guó)家背景的網(wǎng)絡(luò)攻擊所使用,實(shí)施攻擊。
該漏洞的原理同2010年美國(guó)和以色列入侵并破壞伊朗核設(shè)施的震網(wǎng)行動(dòng)中所使用的、用于穿透核設(shè)施中隔離網(wǎng)絡(luò)的 Windows 安全漏洞 CVE-2010-2568 非常相似。它可以很容易地被黑客利用并組裝成用于攻擊基礎(chǔ)設(shè)施、存放關(guān)鍵資料的核心隔離系統(tǒng)等的網(wǎng)絡(luò)武器。
二、本次漏洞涉及到的范圍
1、Windows 搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)
具體受影響的操作系統(tǒng)列表如下:
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Coreinstallation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core
installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows XP
Windows 2003
Windows Vista
2、“震網(wǎng)三代”LNK 文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)
該漏洞影響從Win7到最新的Windows 10操作系統(tǒng),漏洞同樣影響操作系統(tǒng),但不影響XP/2003 系統(tǒng)。
具體受影響的操作系統(tǒng)列表如下:
Windows 7 (32/64 位)
Windows 8 (32/64 位)
Windows 8.1(32/64 位)
Windows 10 (32/64 位,RTM/TH2/RS1/RS2)
Windows Server 2008 (32/64/IA64)
Windows Server 2008 R2 (64/IA64)
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Vista
三、應(yīng)對(duì)措施
用戶除通過官方途徑獲取補(bǔ)丁外,也可以通過服務(wù)器安全狗、云壘、服云平臺(tái)等方式獲取補(bǔ)丁。
暫時(shí)無法及時(shí)更新補(bǔ)丁的主機(jī),可以采用如下的方式進(jìn)行緩解:
1、Windows 搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)
關(guān)閉 Windows Search 服務(wù)
2、“震網(wǎng)三代”LNK 文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)
建議在服務(wù)器環(huán)境執(zhí)行以下緩解措施:
禁用 U 盤、網(wǎng)絡(luò)共享及關(guān)閉 Webclient service
請(qǐng)管理員關(guān)注是否有業(yè)務(wù)與上述服務(wù)相關(guān)并做好恢復(fù)準(zhǔn)備。