微軟的Patch Tuesday更新發布了多達95個針對Windows、Office、Skype、IE和Edge瀏覽器的補丁。其中27個涉及遠程代碼執行,18個補丁被微軟設定為嚴重(Critical),76個重要(Important),1個中等(Moderate)。其中,最危險的兩個漏洞存在于Windows Search功能和處理LNK文件的過程中。
漏洞簡介
本月的微軟補丁發布,經過安信與誠安全專家研判確認以下兩個漏洞需要緊急處置:“震網三代”LNK文件遠程代碼執行漏洞(CVE-2017-8464)和Windows搜索遠程命令執行漏洞(CVE-2017-8543)。
“震網三代”LNK文件遠程代碼執行漏洞(CVE -2017-8464)可以用于穿透物理隔離網絡。微軟14日凌晨發布的安全公告,稱CVE-2017-8464被國家背景的網絡攻擊所使用,實施攻擊。
該漏洞的原理同2010年美國和以色列入侵并破壞伊朗核設施的震網行動中所使用的、用于穿透核設施中隔離網絡的Windows安全漏洞CVE-2010-2568非常相似。它可以很容易地被黑客利用并組裝成用于攻擊基礎設施、存放關鍵資料的核心隔離系統等的網絡武器。
該漏洞是一個微軟Windows系統處理LNK文件過程中發生的遠程代碼執行漏洞。當存在漏洞的電腦被插上存在漏洞文件的U盤時,不需要任何額外操作,漏洞攻擊程序就可以借此完全控制用戶的電腦系統。該漏洞也可能籍由用戶訪問網絡共享、從互聯網下載、拷貝文件等操作被觸發和利用攻擊。
另一個漏洞,Windows搜索遠程代碼執行漏洞的補丁,解決了在Windows操作系統中發現的Windows搜索服務(Windows Search Service)的一個遠程代碼執行漏洞(WSS:Windows中允許用戶跨多個Windows服務和客戶機搜索的功能)。
微軟在同一天發布了Windows XP和Windows Server 2003等Windows不繼續支持的版本的補丁,這個修改是為了避免上月發生的WannaCry蠕蟲勒索事件的重現。Window XP的補丁更新可以在微軟下載中心找到,但不會自動通過Windows推送。
漏洞危害
“震網三代”LNK文件遠程代碼執行漏洞(CVE-2017-8464)
一個常見的攻擊場景是:物理隔離的基礎設施、核心網絡通常需要使用U盤、移動硬盤等移動存儲設備進行數據交換,當有權限物理接觸被隔離系統的人員有意或無意(已經被入侵的情況)下,將存在漏洞攻擊文件的設備插入被隔離系統,就會使得惡意程序感染并控制被隔離系統。
在 2010 年,據稱是美國和以色列的聯合行動小組的間諜人員買通伊朗生產濃縮鈾的核工廠的技術人員,將含有類似漏洞的U盤插入了控制核工廠工業控制系統的電腦,感染后的電腦繼續攻擊了離心機設備,導致核原料提煉失敗,伊朗的核計劃最終失敗并可能造成了一定規模的核泄漏事件。
本次的漏洞CVE-2017-8464和2010年的漏洞的原理和能力幾乎完全一致。據微軟官方發布的消息,該漏洞已經被攻擊者利用在真實世界的攻擊中。但是此次微軟并沒有公開是哪個組織或公司向其報告的攻擊事件,這一反常的行為很可能是由于攻擊方來自具有國家背景的黑客組織,或者被攻擊方是具有國家背景的組織或機構。
Windows 搜索遠程命令執行漏洞(CVE-2017-8543)
當 Windows 搜索處理內存中的對象時,存在遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以控制受影響的系統。攻擊者可以安裝、查看、更改或刪除數據,或者創建具有完全用戶權限的新帳戶。
為了利用該漏洞,攻擊者向Windows搜索服務發送特定SMB消息。訪問目標計算機的攻擊者可以利用此漏洞提升權限并控制計算機。
在企業場景中,一個未經身份驗證的遠程攻擊者可以遠程觸發漏洞,通過SMB連接然后控制目標計算機。
漏洞編號
CVE-2017-8464
CVE-2017-8543
影響范圍
“震網三代”LNK 文件遠程代碼執行漏洞(CVE-2017-8464)
該漏洞影響從Win7到最新的Windows 10操作系統,漏洞同樣影響操作系統, 但不影響XP 2003系統。具體受影響的操作系統列表如下:
Windows7 (32/64 位)
Windows8 (32/64 位)
Windows8.1(32/64 位)
Windows10 (32/64 位,RTM/TH2/RS1/RS2)
WindowsServer 2008 (32/64/IA64)
WindowsServer 2008 R2 (64/IA64)
WindowsServer 2012
WindowsServer 2012 R2
WindowsServer 2016
WindowsVista
Windows 搜索遠程命令執行漏洞(CVE-2017-8543)
具體受影響的操作系統列表如下:
WindowsServer 2016 (Server Core installation)
WindowsServer 2016
WindowsServer 2012 R2 (Server Core installation)
WindowsServer 2012 R2
WindowsServer 2012 (Server Core installation)
WindowsServer 2012
WindowsServer 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
WindowsServer 2008 R2 for x64-based Systems Service Pack 1
WindowsServer 2008 R2 for Itanium-Based Systems Service Pack 1
WindowsServer 2008 for x64-based Systems Service Pack 2 (Server Core installation)
WindowsServer 2008 for x64-based Systems Service Pack 2
WindowsServer 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
WindowsServer 2008 for 32-bit Systems Service Pack 2
WindowsRT 8.1
Windows8.1 for x64-based systems
Windows8.1 for 32-bit systems
Windows7 for x64-based Systems Service Pack 1
Windows7 for 32-bit Systems Service Pack 1
Windows10 Version 1703 for x64-based Systems
Windows10 Version 1703 for 32-bit Systems
Windows10 Version 1607 for x64-based Systems
Windows10 Version 1607 for 32-bit Systems
Windows10 Version 1511 for x64-based Systems
Windows10 Version 1511 for 32-bit Systems
Windows10 for x64-based Systems
Windows10 for 32-bit Systems
WindowsXP
Windows2003
WindowsVista
修復措施
“震網三代”LNK文件遠程代碼執行漏洞(CVE-2017-8464)
目前微軟已經針對除了Windows 8系統外的操作系統提供了官方補丁。
微軟官方補丁下載地址:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
Windows 搜索遠程命令執行漏洞(CVE-2017-8543)
目前微軟已經提供了官方補丁,稍后我們將提供一鍵式修復工具。
微軟官方補丁下載地址:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
緩解措施
對于無法及時更新補丁的主機,我們建議采用如下的方式進行緩解:
“震網三代”LNK文件遠程代碼執行漏洞(CVE-2017-8464)
建議在服務器環境執行以下緩解措施:
禁用U盤、網絡共享及關閉Webclient Service。
請管理員關注是否有業務與上述服務相關并做好恢復準備。
Windows搜索遠程命令執行漏洞(CVE-2017-8543)
關閉Windows Search服務。
