帮助与文档

【紧急预警】微软“震网三代”及其他高危漏洞预警
每月的第二个周二是微软公司集中发布一批影响其产品安全漏洞的补丁日。从发布的情况看,有两个特殊漏洞值得关注:正在被利用的远程代码执行漏洞(CVE-2017-8543)Windows Search远程代码执行漏洞和(CVE-2017-8464)LNK文件(快捷方式)远程代码执行漏洞。
其中,CVE-2017-8464 被一些人称为“震网三代”。何为“震网三代”?为什么这两个漏洞连名字都要这么霸气,它们能造成什么影响?
“震网三代”LNK文件远程代码执行漏洞(cve-2017-8464)可以用于穿透物理隔离网络。微软发布的安全公告,称CVE-2017-8464被国家背景的网络攻击所使用,实施攻击。
该漏洞的原理同2010年破坏伊朗核设施的震网行动中所使用的、用于穿透核设施中隔离网络的Windows安全漏洞CVE-2010-2568非常相似。它可以很容易地被黑客利用并组装成用于攻击基础设施、存放关键资料的核心隔离系统等的网络武器。
该漏洞是一个微软Windows系统处理LNK文件过程中发生的远程代码执行漏洞。当存在漏洞的电脑被插上存在漏洞文件的U盘时,不需要任何额外操作,漏洞攻击程序就可以借此完全控制用户的电脑系统。该漏洞也可能籍由用户访问网络共享、从互联网下载、拷贝文件等操作被触发和利用攻击。
另一个漏洞,Windows搜索远程代码执行漏洞的补丁,解决了在Windows操作系统中发现的Windows搜索服务(Windows Search Service)的一个远程代码执行漏洞(WSS:Windows中允许用户跨多个Windows服务和客户机搜索的功能)
一个常见的攻击场景是:物理隔离的基础设施、核心网络通常需要使用U盘、移动硬盘等移动存储设备进行数据交换,当有权限物理接触被隔离系统的人员有意或无意(已经被入侵的情况)下,将存在漏洞攻击文件的设备插入被隔离系统,就会使得恶意程序感染并控制被隔离系统。
 
风险等级
风险评级为:危急
 
处置建议
确认影响范围:
“震网三代”LNK文件远程代码执行漏洞(cve-2017-8464)
该漏洞影响从Win7到最新的Windows 10操作系统,漏洞同样影响操作系统,但不影响XP \2003系统。具体受影响的操作系统列表如下:
Windows 7 (32/64位)
Windows 8 (32/64位)
Windows 8.1(32/64位)
Windows 10 (32/64位,RTM/TH2/RS1/RS2)
Windows Server 2008 (32/64/IA64)
Windows Server 2008 R2 (64/IA64)
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Vista
Windows搜索远程命令执行漏洞(cve-2017-8543)
具体受影响的操作系统列表如下:
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows 10 Version 1703 for x64-based Systems
Windows 10 Version 1703 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1511 for x64-based Systems
Windows 10 Version 1511 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows XP
Windows 2003
Windows Vista
 
缓解措施
对于无法及时更新补丁的主机,我们建议采用如下的方式进行缓解:
“震网三代”LNK文件远程代码执行漏洞(cve-2017-8464)
建议在服务器环境执行以下缓解措施:
禁用U盘、网络共享及关闭Webclient service
请管理员关注是否有业务与上述服务相关并做好数据备份和恢复的准备。
Windows搜索远程命令执行漏洞(cve-2017-8543)
关闭Windows Search服务
 
根治手段
“震网三代”LNK文件远程代码执行漏洞(cve-2017-8464)
目前微软已经针对除了Windows 8系统外的操作系统提供了官方补丁,稍后我们将提供一键式修复工具。
微软官方补丁下载地址:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464
Windows搜索远程命令执行漏洞(cve-2017-8543)
目前微软已经提供了官方补丁,稍后我们将提供一键式修复工具。
微软官方补丁下载地址:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
提醒:更新补丁有风险,建议备份好数据后再更新,以防系统崩溃;
 
 
参考文档:
https://threatpost.com/microsoft-patches-two-critical-vulnerabilities-under-attack/126239/
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8464

  • 波浪
  • 波浪