微軟的Patch Tuesday更新發(fā)布了多達(dá)95個針對Windows�、Office�、Skype����、IE和Edge瀏覽器的補(bǔ)丁。其中27個涉及遠(yuǎn)程代碼執(zhí)行���,18個補(bǔ)丁被微軟設(shè)定為嚴(yán)重(Critical)�����,76個重要(Important)�����,1個中等(Moderate)���。其中����,最危險的兩個漏洞存在于Windows Search功能和處理LNK文件的過程中���。
漏洞簡介
本月的微軟補(bǔ)丁發(fā)布���,經(jīng)過安信與誠安全專家研判確認(rèn)以下兩個漏洞需要緊急處置:“震網(wǎng)三代”LNK文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)和Windows搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)���。
“震網(wǎng)三代”LNK文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE -2017-8464)可以用于穿透物理隔離網(wǎng)絡(luò)�����。微軟14日凌晨發(fā)布的安全公告�,稱CVE-2017-8464被國家背景的網(wǎng)絡(luò)攻擊所使用��,實(shí)施攻擊���。
該漏洞的原理同2010年美國和以色列入侵并破壞伊朗核設(shè)施的震網(wǎng)行動中所使用的�����、用于穿透核設(shè)施中隔離網(wǎng)絡(luò)的Windows安全漏洞CVE-2010-2568非常相似��。它可以很容易地被黑客利用并組裝成用于攻擊基礎(chǔ)設(shè)施�、存放關(guān)鍵資料的核心隔離系統(tǒng)等的網(wǎng)絡(luò)武器���。
該漏洞是一個微軟Windows系統(tǒng)處理LNK文件過程中發(fā)生的遠(yuǎn)程代碼執(zhí)行漏洞��。當(dāng)存在漏洞的電腦被插上存在漏洞文件的U盤時�,不需要任何額外操作����,漏洞攻擊程序就可以借此完全控制用戶的電腦系統(tǒng)。該漏洞也可能籍由用戶訪問網(wǎng)絡(luò)共享��、從互聯(lián)網(wǎng)下載�、拷貝文件等操作被觸發(fā)和利用攻擊。
另一個漏洞����,Windows搜索遠(yuǎn)程代碼執(zhí)行漏洞的補(bǔ)丁��,解決了在Windows操作系統(tǒng)中發(fā)現(xiàn)的Windows搜索服務(wù)(Windows Search Service)的一個遠(yuǎn)程代碼執(zhí)行漏洞(WSS:Windows中允許用戶跨多個Windows服務(wù)和客戶機(jī)搜索的功能)�。
微軟在同一天發(fā)布了Windows XP和Windows Server 2003等Windows不繼續(xù)支持的版本的補(bǔ)丁��,這個修改是為了避免上月發(fā)生的WannaCry蠕蟲勒索事件的重現(xiàn)�。Window XP的補(bǔ)丁更新可以在微軟下載中心找到����,但不會自動通過Windows推送。
漏洞危害
“震網(wǎng)三代”LNK文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)
一個常見的攻擊場景是:物理隔離的基礎(chǔ)設(shè)施�、核心網(wǎng)絡(luò)通常需要使用U盤���、移動硬盤等移動存儲設(shè)備進(jìn)行數(shù)據(jù)交換����,當(dāng)有權(quán)限物理接觸被隔離系統(tǒng)的人員有意或無意(已經(jīng)被入侵的情況)下�����,將存在漏洞攻擊文件的設(shè)備插入被隔離系統(tǒng),就會使得惡意程序感染并控制被隔離系統(tǒng)�����。
在 2010 年�����,據(jù)稱是美國和以色列的聯(lián)合行動小組的間諜人員買通伊朗生產(chǎn)濃縮鈾的核工廠的技術(shù)人員�,將含有類似漏洞的U盤插入了控制核工廠工業(yè)控制系統(tǒng)的電腦����,感染后的電腦繼續(xù)攻擊了離心機(jī)設(shè)備,導(dǎo)致核原料提煉失敗���,伊朗的核計(jì)劃最終失敗并可能造成了一定規(guī)模的核泄漏事件。
本次的漏洞CVE-2017-8464和2010年的漏洞的原理和能力幾乎完全一致���。據(jù)微軟官方發(fā)布的消息,該漏洞已經(jīng)被攻擊者利用在真實(shí)世界的攻擊中���。但是此次微軟并沒有公開是哪個組織或公司向其報告的攻擊事件,這一反常的行為很可能是由于攻擊方來自具有國家背景的黑客組織���,或者被攻擊方是具有國家背景的組織或機(jī)構(gòu)。
Windows 搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)
當(dāng) Windows 搜索處理內(nèi)存中的對象時�����,存在遠(yuǎn)程代碼執(zhí)行漏洞����。成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)�。攻擊者可以安裝、查看、更改或刪除數(shù)據(jù)���,或者創(chuàng)建具有完全用戶權(quán)限的新帳戶。
為了利用該漏洞,攻擊者向Windows搜索服務(wù)發(fā)送特定SMB消息����。訪問目標(biāo)計(jì)算機(jī)的攻擊者可以利用此漏洞提升權(quán)限并控制計(jì)算機(jī)���。
在企業(yè)場景中�����,一個未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以遠(yuǎn)程觸發(fā)漏洞,通過SMB連接然后控制目標(biāo)計(jì)算機(jī)。
漏洞編號
CVE-2017-8464
CVE-2017-8543
影響范圍
“震網(wǎng)三代”LNK 文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)
該漏洞影響從Win7到最新的Windows 10操作系統(tǒng)���,漏洞同樣影響操作系統(tǒng), 但不影響XP 2003系統(tǒng)。具體受影響的操作系統(tǒng)列表如下:
Windows7 (32/64 位)
Windows8 (32/64 位)
Windows8.1(32/64 位)
Windows10 (32/64 位����,RTM/TH2/RS1/RS2)
WindowsServer 2008 (32/64/IA64)
WindowsServer 2008 R2 (64/IA64)
WindowsServer 2012
WindowsServer 2012 R2
WindowsServer 2016
WindowsVista
Windows 搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)
具體受影響的操作系統(tǒng)列表如下:
WindowsServer 2016 (Server Core installation)
WindowsServer 2016
WindowsServer 2012 R2 (Server Core installation)
WindowsServer 2012 R2
WindowsServer 2012 (Server Core installation)
WindowsServer 2012
WindowsServer 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
WindowsServer 2008 R2 for x64-based Systems Service Pack 1
WindowsServer 2008 R2 for Itanium-Based Systems Service Pack 1
WindowsServer 2008 for x64-based Systems Service Pack 2 (Server Core installation)
WindowsServer 2008 for x64-based Systems Service Pack 2
WindowsServer 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
WindowsServer 2008 for 32-bit Systems Service Pack 2
WindowsRT 8.1
Windows8.1 for x64-based systems
Windows8.1 for 32-bit systems
Windows7 for x64-based Systems Service Pack 1
Windows7 for 32-bit Systems Service Pack 1
Windows10 Version 1703 for x64-based Systems
Windows10 Version 1703 for 32-bit Systems
Windows10 Version 1607 for x64-based Systems
Windows10 Version 1607 for 32-bit Systems
Windows10 Version 1511 for x64-based Systems
Windows10 Version 1511 for 32-bit Systems
Windows10 for x64-based Systems
Windows10 for 32-bit Systems
WindowsXP
Windows2003
WindowsVista
修復(fù)措施
“震網(wǎng)三代”LNK文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)
目前微軟已經(jīng)針對除了Windows 8系統(tǒng)外的操作系統(tǒng)提供了官方補(bǔ)丁���。
微軟官方補(bǔ)丁下載地址:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
Windows 搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)
目前微軟已經(jīng)提供了官方補(bǔ)丁����,稍后我們將提供一鍵式修復(fù)工具。
微軟官方補(bǔ)丁下載地址:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
緩解措施
對于無法及時更新補(bǔ)丁的主機(jī)��,我們建議采用如下的方式進(jìn)行緩解:
“震網(wǎng)三代”LNK文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)
建議在服務(wù)器環(huán)境執(zhí)行以下緩解措施:
禁用U盤�、網(wǎng)絡(luò)共享及關(guān)閉Webclient Service。
請管理員關(guān)注是否有業(yè)務(wù)與上述服務(wù)相關(guān)并做好恢復(fù)準(zhǔn)備�。
Windows搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)
關(guān)閉Windows Search服務(wù)���。
