首页中心介绍学校邮箱VPN账户上网认证无线网络业务申请常用下载规章制度常见问题联系我们学校主页
当前位置: 首页 > 网络安全 > 安全知识与动态 > 正文
站内搜索:
windowsLNK文件与搜索服务存在远程代码执行漏洞
 

     2017年6月14日微软发布补丁,披露了两个Windows远程代码 执行高危漏洞,WindowsLNK文件远程代码执行漏洞(cve-2017-8464) 和Windows搜索远程命令执行漏洞(cve-2017-8543),影响多个Windows操作系统版本。

一、基本情况

     WindowsLNK远程代码执行漏洞 :是一个微软Windows系统处理LNK文件过程中发生的远程代码执行漏洞,LNK是windows系统内应用程序快捷方式文件的文件类型后缀名。成功利用漏洞后,可以执 行存在LNK文件中的任意代码并获得与本地用户相同的用户权限。

    危害等级:严重  

     作业场景:

     1、通常可以通过针对性邮件传播带有恶意代码的Windows快捷 方式文件,当本地执行快捷方式文件时,将在目标系统上执行攻击者选择的代码,

     2、可以通过可移动驱动器执行,当用户机器上插入带有恶意代码的.LNK文件的驱动器并打开此驱动器时,将在目标系统上执行攻击者选择的代码。同2010年的震网蠕虫相似,在震网入侵伊朗核电站的过程中,病毒就是利用U盘中的恶意快捷方式实施入侵,只要预览图标即使不双击文件也会感染。

     3、通过远程共享执行:通过向用户传递包含恶意的.LNK文件和相关联的恶意二进制文件的远程共享,打开共享时将在目标系统上执行攻击者选择的代码。

     Windows搜索远程代码执行漏洞,当Windows搜索处理内存中的 对象时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以提升权限并控制受影响的系统。Windows搜索服务(WSS)是windows的一 项默认启用的基本服务,允许用户在多个Windows服务和客户端之间进行搜索。

    危害等级:严重  

    作业场景:  

     攻击者向远程机器发送一段特定的 SMB 数据,触发Windows搜索中的对象内存处理错误,并在目标系统上执行任意代码, 此漏洞可能被用于国家级的针对性攻击,特别是针对某些特定功能服务器,用来执行任意代码来窃取信息、安装后门等操作。

二、影响范围

     WindowsLNK文件远程代码执行漏洞具体受影响的操作系统列表如下:

     Windows7(32/64位)

     Windows8(32/64位)

     Windows8.1(32/64位)

     Windows10(32/64位,RTM/TH2/RS1/RS2)

     WindowsServer2008(32/64/IA64)

     WindowsServer2008R2(64/IA64)

     WindowsServer2012

     WindowsServer2012R2

     WindowsServer2016

     WindowsVista

     Windows搜索远程命令执行漏洞具体受影响的操作系统列表如下:

     WindowsServer2016(ServerCoreinstallation)

     WindowsServer2016

     WindowsServer2012R2(ServerCoreinstallation)

     WindowsServer2012R2

     WindowsServer2012(ServerCoreinstallation)

     WindowsServer2012

     WindowsServer2008R2forx64-basedSystemsServicePack1(ServerCoreinstallation)

     WindowsServer2008R2forx64-basedSystemsServicePack1

     WindowsServer2008R2forItanium-BasedSystemsServicePack1

     WindowsServer2008forx64-basedSystemsServicePack2(ServerCoreinstallation)

     WindowsServer2008forx64-basedSystemsServicePack2

     WindowsServer2008for32-bitSystemsServicePack2(ServerCoreinstallation)

     WindowsServer2008for32-bitSystemsServicePack2

     WindowsRT8.1

     Windows8.1 forx64-basedsystems

     Windows8.1for32-bitsystems

     Windows7forx64-basedSystemsServicePack1

     Windows7for32-bitSystemsServicePack1

     Windows10Version1703forx64-basedSystems

     Windows10Version1703for32-bitSystems

     Windows10Version1607forx64-basedSystems

     Windows10Version1607for32-bitSystems

     Windows10Version1511forx64-basedSystems

     Windows10Version1511for32-bitSystems

     Windows10forx64-basedSystems

     Windows10for32-bitSystemsWindowsXP

     Windows2003

     WindowsVista

三、对策建议

     一是组织排查、及时更新补丁。

     WindowsLNK文件远程代码执行漏洞微软官方补丁下载地址:

     https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464  

     https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

     Windows搜索远程命令执行漏洞微软官方补丁下载地址:

     https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543

     https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

     二是对于无法及时更新补丁的主机,建议采用如下的方式进行防御:

     WindowsLNK文件远程代码执行漏洞建议在服务器环境执行以下缓解措施:1、禁用U盘、网络共享及关闭Webclientservice;2、请管理员关注是否有业务与上述服务相关并做好恢复准备。

     Windows搜索远程命令执行漏洞建议采取缓解措施:关闭Windows Search服务。

     信息提供厂商:360,安天

关闭窗口
版权所有 2013上海体育学院 信息技术中心

地址:上海市杨浦区长海路399号图文信息楼4楼 | 邮编:200438 | 电话:(86-21)51253048 | Email:itc#sus.edu.cn(发信时请将#替换为@) | 远程协助QQ:2547906429