微軟的Patch Tuesday更新發(fā)布了多達(dá)95個(gè)針對(duì)Windows����、Office�����、Skype�����、IE和Edge瀏覽器的補(bǔ)丁���。其中27個(gè)涉及遠(yuǎn)程代碼執(zhí)行,18個(gè)補(bǔ)丁被微軟設(shè)定為嚴(yán)重(Critical)���,76個(gè)重要(Important)���,1個(gè)中等(Moderate)。其中�,最危險(xiǎn)的兩個(gè)漏洞存在于Windows Search功能和處理LNK文件的過(guò)程中。
漏洞簡(jiǎn)介
本月的微軟補(bǔ)丁發(fā)布���,經(jīng)過(guò)安信與誠(chéng)安全專家研判確認(rèn)以下兩個(gè)漏洞需要緊急處置:“震網(wǎng)三代”LNK文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)和Windows搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)�����。
“震網(wǎng)三代”LNK文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE -2017-8464)可以用于穿透物理隔離網(wǎng)絡(luò)�����。微軟14日凌晨發(fā)布的安全公告�,稱CVE-2017-8464被國(guó)家背景的網(wǎng)絡(luò)攻擊所使用,實(shí)施攻擊�����。
該漏洞的原理同2010年美國(guó)和以色列入侵并破壞伊朗核設(shè)施的震網(wǎng)行動(dòng)中所使用的���、用于穿透核設(shè)施中隔離網(wǎng)絡(luò)的Windows安全漏洞CVE-2010-2568非常相似��。它可以很容易地被黑客利用并組裝成用于攻擊基礎(chǔ)設(shè)施���、存放關(guān)鍵資料的核心隔離系統(tǒng)等的網(wǎng)絡(luò)武器。
該漏洞是一個(gè)微軟Windows系統(tǒng)處理LNK文件過(guò)程中發(fā)生的遠(yuǎn)程代碼執(zhí)行漏洞���。當(dāng)存在漏洞的電腦被插上存在漏洞文件的U盤時(shí)����,不需要任何額外操作,漏洞攻擊程序就可以借此完全控制用戶的電腦系統(tǒng)�����。該漏洞也可能籍由用戶訪問(wèn)網(wǎng)絡(luò)共享�����、從互聯(lián)網(wǎng)下載�、拷貝文件等操作被觸發(fā)和利用攻擊。
另一個(gè)漏洞��,Windows搜索遠(yuǎn)程代碼執(zhí)行漏洞的補(bǔ)丁�,解決了在Windows操作系統(tǒng)中發(fā)現(xiàn)的Windows搜索服務(wù)(Windows Search Service)的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞(WSS:Windows中允許用戶跨多個(gè)Windows服務(wù)和客戶機(jī)搜索的功能)。
微軟在同一天發(fā)布了Windows XP和Windows Server 2003等Windows不繼續(xù)支持的版本的補(bǔ)丁����,這個(gè)修改是為了避免上月發(fā)生的WannaCry蠕蟲勒索事件的重現(xiàn)����。Window XP的補(bǔ)丁更新可以在微軟下載中心找到,但不會(huì)自動(dòng)通過(guò)Windows推送�����。
漏洞危害
“震網(wǎng)三代”LNK文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)
一個(gè)常見(jiàn)的攻擊場(chǎng)景是:物理隔離的基礎(chǔ)設(shè)施、核心網(wǎng)絡(luò)通常需要使用U盤��、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)交換����,當(dāng)有權(quán)限物理接觸被隔離系統(tǒng)的人員有意或無(wú)意(已經(jīng)被入侵的情況)下,將存在漏洞攻擊文件的設(shè)備插入被隔離系統(tǒng)�����,就會(huì)使得惡意程序感染并控制被隔離系統(tǒng)�。
在 2010 年,據(jù)稱是美國(guó)和以色列的聯(lián)合行動(dòng)小組的間諜人員買通伊朗生產(chǎn)濃縮鈾的核工廠的技術(shù)人員����,將含有類似漏洞的U盤插入了控制核工廠工業(yè)控制系統(tǒng)的電腦,感染后的電腦繼續(xù)攻擊了離心機(jī)設(shè)備�����,導(dǎo)致核原料提煉失敗�����,伊朗的核計(jì)劃最終失敗并可能造成了一定規(guī)模的核泄漏事件。
本次的漏洞CVE-2017-8464和2010年的漏洞的原理和能力幾乎完全一致��。據(jù)微軟官方發(fā)布的消息�,該漏洞已經(jīng)被攻擊者利用在真實(shí)世界的攻擊中。但是此次微軟并沒(méi)有公開(kāi)是哪個(gè)組織或公司向其報(bào)告的攻擊事件��,這一反常的行為很可能是由于攻擊方來(lái)自具有國(guó)家背景的黑客組織���,或者被攻擊方是具有國(guó)家背景的組織或機(jī)構(gòu)����。
Windows 搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)
當(dāng) Windows 搜索處理內(nèi)存中的對(duì)象時(shí)�����,存在遠(yuǎn)程代碼執(zhí)行漏洞���。成功利用此漏洞的攻擊者可以控制受影響的系統(tǒng)��。攻擊者可以安裝、查看�����、更改或刪除數(shù)據(jù),或者創(chuàng)建具有完全用戶權(quán)限的新帳戶����。
為了利用該漏洞,攻擊者向Windows搜索服務(wù)發(fā)送特定SMB消息�。訪問(wèn)目標(biāo)計(jì)算機(jī)的攻擊者可以利用此漏洞提升權(quán)限并控制計(jì)算機(jī)。
在企業(yè)場(chǎng)景中���,一個(gè)未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以遠(yuǎn)程觸發(fā)漏洞�����,通過(guò)SMB連接然后控制目標(biāo)計(jì)算機(jī)����。
漏洞編號(hào)
CVE-2017-8464
CVE-2017-8543
影響范圍
“震網(wǎng)三代”LNK 文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)
該漏洞影響從Win7到最新的Windows 10操作系統(tǒng)���,漏洞同樣影響操作系統(tǒng)����, 但不影響XP 2003系統(tǒng)�。具體受影響的操作系統(tǒng)列表如下:
Windows7 (32/64 位)
Windows8 (32/64 位)
Windows8.1(32/64 位)
Windows10 (32/64 位,RTM/TH2/RS1/RS2)
WindowsServer 2008 (32/64/IA64)
WindowsServer 2008 R2 (64/IA64)
WindowsServer 2012
WindowsServer 2012 R2
WindowsServer 2016
WindowsVista
Windows 搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)
具體受影響的操作系統(tǒng)列表如下:
WindowsServer 2016 (Server Core installation)
WindowsServer 2016
WindowsServer 2012 R2 (Server Core installation)
WindowsServer 2012 R2
WindowsServer 2012 (Server Core installation)
WindowsServer 2012
WindowsServer 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
WindowsServer 2008 R2 for x64-based Systems Service Pack 1
WindowsServer 2008 R2 for Itanium-Based Systems Service Pack 1
WindowsServer 2008 for x64-based Systems Service Pack 2 (Server Core installation)
WindowsServer 2008 for x64-based Systems Service Pack 2
WindowsServer 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
WindowsServer 2008 for 32-bit Systems Service Pack 2
WindowsRT 8.1
Windows8.1 for x64-based systems
Windows8.1 for 32-bit systems
Windows7 for x64-based Systems Service Pack 1
Windows7 for 32-bit Systems Service Pack 1
Windows10 Version 1703 for x64-based Systems
Windows10 Version 1703 for 32-bit Systems
Windows10 Version 1607 for x64-based Systems
Windows10 Version 1607 for 32-bit Systems
Windows10 Version 1511 for x64-based Systems
Windows10 Version 1511 for 32-bit Systems
Windows10 for x64-based Systems
Windows10 for 32-bit Systems
WindowsXP
Windows2003
WindowsVista
修復(fù)措施
“震網(wǎng)三代”LNK文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)
目前微軟已經(jīng)針對(duì)除了Windows 8系統(tǒng)外的操作系統(tǒng)提供了官方補(bǔ)丁����。
微軟官方補(bǔ)丁下載地址:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
Windows 搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)
目前微軟已經(jīng)提供了官方補(bǔ)丁���,稍后我們將提供一鍵式修復(fù)工具。
微軟官方補(bǔ)丁下載地址:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
緩解措施
對(duì)于無(wú)法及時(shí)更新補(bǔ)丁的主機(jī)�,我們建議采用如下的方式進(jìn)行緩解:
“震網(wǎng)三代”LNK文件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8464)
建議在服務(wù)器環(huán)境執(zhí)行以下緩解措施:
禁用U盤、網(wǎng)絡(luò)共享及關(guān)閉Webclient Service�����。
請(qǐng)管理員關(guān)注是否有業(yè)務(wù)與上述服務(wù)相關(guān)并做好恢復(fù)準(zhǔn)備��。
Windows搜索遠(yuǎn)程命令執(zhí)行漏洞(CVE-2017-8543)
關(guān)閉Windows Search服務(wù)���。
