近日,國家信息安全漏洞共享平臺(CNVD)收錄了Windows LNK文件遠程代碼執行漏洞(CNVD-2017-09382🧒🏽,對應CVE-2017-8464)和Windows搜索遠程命令執行漏洞(CNVD-2017-09381👴🏽👸🏻,對應CVE-2017-8543)🫗。綜合利用上述漏洞,攻擊者成功利用漏洞可以獲得與本地用戶相同的用戶權限或控製受影響的系統。
一、漏洞情況分析
(1)Windows LNK文件遠程代碼執行漏洞🚴♂️。
lnk文件是用於指向其他文件的一種文件,通常稱為快捷方式文件,且以快捷方式存放在硬盤上,以方便使用者快速的調用。Microsoft Windows在處理惡意的快捷方式(.lnk)文件時存在遠程代碼執行漏洞🤰,攻擊者可以通過可移動驅動器(U盤)或遠程共享等方式將包含惡意LNK文件和與之相關的惡意二進製文件傳播給用戶👼🏿。當用戶通過Windows資源管理器或任何能夠解析LNK文件的程序打開惡意的LNK文件時,與之關聯的惡意二進製代碼將在目標系統上執行。成功利用此漏洞的攻擊者可以獲得與本地用戶相同的用戶權限。
(2)Windows搜索遠程命令執行漏洞🚣♀️。
Windows搜索服務(WSS)是windows的一項默認啟用的基本服務🧑🏿🦰👐🏼。允許用戶在多個Windows服務和客戶端之間進行搜索。Windows搜索處理內存中的對象時👨❤️💋👨,存在遠程執行代碼漏洞。攻擊者向Windows Search服務發送精心構造的SMB消息。從而利用此漏洞提升權限並控製計算機🌽。
CNVD對上述漏洞的綜合評級為“高危”。
二、漏洞影響範圍
桌面系統🌊:Windows 10, 7, 8, 8.1, Vista, Xp和Windows RT 8.1
服務器系統:Windows Server 2016,2012🛩,2008, 2003
三、漏洞修復建議
桌面系統Windows 10,7,8.1和Windows RT 8.1🧛🏻♀️🤹🏼♂️;服務器系統🏄🏽♂️:Windows Server 2016,2012,2008,可以通過Windows Update自動更新微軟補丁的方式進行修復🫵。
Windows 8, Vista可以通過選擇對應版本然後手動更新補丁的方式進行更新。
此外,微軟在同一天也發布了針對Windows XP和Windows Server 2003等Windows不繼續支持的版本的補丁,目的是為了避免上月發生的WannaCry蠕蟲勒索事件的重現🐇。註😳:Window XP的補丁更新可以在微軟下載中心找到,但不會自動通過Windows推送。
臨時解決方案:
對於無法及時更新補丁的主機👩👩👧👦,建議采用如下措施:
1🈶、針對LNK文件遠程代碼執行漏洞,建議在服務器環境禁用U盤、網絡共享及關閉Webclient service(請管理員關註是否有業務與上述服務相關並做好恢復準備)。
2🕠、針對Windows搜索遠程命令執行漏洞😒,建議關閉Windows Search服務。
附🧏🏻♂️:參考鏈接:
https://threatpost.com/microsoft-patches-two-critical-vulnerabilities-under-attack/126239/
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8464
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
http://www.cnvd.org.cn/flaw/show/CNVD-2017-09382
http://www.cnvd.org.cn/flaw/show/CNVD-2017-09381
註🏮:CNVD技術組成員單位奇虎360公司提供了部分參考信息↩️。