首頁(yè) > 安(ān)全通告 >正文(wén)

關于Windows LNK文(wén)件遠(yuǎn)程代碼執行漏洞和Windows搜索遠(yuǎn)程命令執行漏洞的安(ān)全公(gōng)告

文(wén)章來源: | 發布時間:2017-06-15

        近日,國(guó)家信息安(ān)全漏洞共享平台(CNVD)收錄了Windows LNK文(wén)件遠(yuǎn)程代碼執行漏洞(CNVD-2017-09382,對應CVE-2017-8464)和Windows搜索遠(yuǎn)程命令執行漏洞(CNVD-2017-09381,對應CVE-2017-8543)。綜合利用(yòng)上述漏洞,攻擊者成功利用(yòng)漏洞可(kě)以獲得與本地用(yòng)戶相同的用(yòng)戶權限或控制受影響的系統。

        一、漏洞情況分(fēn)析

        (1)Windows LNK文(wén)件遠(yuǎn)程代碼執行漏洞。

        lnk文(wén)件是用(yòng)于指向其他(tā)文(wén)件的一種文(wén)件,通常稱為(wèi)快捷方式文(wén)件,且以快捷方式存放在硬盤上,以方便使用(yòng)者快速的調用(yòng)。Microsoft Windows在處理(lǐ)惡意的快捷方式(.lnk)文(wén)件時存在遠(yuǎn)程代碼執行漏洞,攻擊者可(kě)以通過可(kě)移動驅動器(U盤)或遠(yuǎn)程共享等方式将包含惡意LNK文(wén)件和與之相關的惡意二進制文(wén)件傳播給用(yòng)戶。當用(yòng)戶通過Windows資源管理(lǐ)器或任何能(néng)夠解析LNK文(wén)件的程序打開惡意的LNK文(wén)件時,與之關聯的惡意二進制代碼将在目标系統上執行。成功利用(yòng)此漏洞的攻擊者可(kě)以獲得與本地用(yòng)戶相同的用(yòng)戶權限。

        (2)Windows搜索遠(yuǎn)程命令執行漏洞。

        Windows搜索服務(wù)(WSS)是windows的一項默認啓用(yòng)的基本服務(wù)。允許用(yòng)戶在多(duō)個Windows服務(wù)和客戶端之間進行搜索。Windows搜索處理(lǐ)内存中(zhōng)的對象時,存在遠(yuǎn)程執行代碼漏洞。攻擊者向Windows Search服務(wù)發送精(jīng)心構造的SMB消息。從而利用(yòng)此漏洞提升權限并控制計算機。

        CNVD對上述漏洞的綜合評級為(wèi)“高危”。

        二、漏洞影響範圍

        桌面系統:Windows 10, 7, 8, 8.1, Vista, Xp和Windows RT 8.1

        服務(wù)器系統:Windows Server 2016,2012,2008, 2003

        三、漏洞修複建議

        桌面系統Windows 10,7,8.1和Windows RT 8.1;服務(wù)器系統:Windows Server 2016,2012,2008,可(kě)以通過Windows Update自動更新(xīn)微軟補丁的方式進行修複。

        Windows 8, Vista可(kě)以通過選擇對應版本然後手動更新(xīn)補丁的方式進行更新(xīn)。

        (補丁下載地址參考)https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

        此外,微軟在同一天也發布了針對Windows XP和Windows Server 2003等Windows不繼續支持的版本的補丁,目的是為(wèi)了避免上月發生的WannaCry蠕蟲勒索事件的重現。注:Window XP的補丁更新(xīn)可(kě)以在微軟下載中(zhōng)心找到,但不會自動通過Windows推送。

        臨時解決方案:

        對于無法及時更新(xīn)補丁的主機,建議采用(yòng)如下措施:

        1、針對LNK文(wén)件遠(yuǎn)程代碼執行漏洞,建議在服務(wù)器環境禁用(yòng)U盤、網絡共享及關閉Webclient service(請管理(lǐ)員關注是否有(yǒu)業務(wù)與上述服務(wù)相關并做好恢複準備)。

        2、針對Windows搜索遠(yuǎn)程命令執行漏洞,建議關閉Windows Search服務(wù)。

        附:參考鏈接:

        https://threatpost.com/microsoft-patches-two-critical-vulnerabilities-under-attack/126239/

        https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8464

        https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-09382 

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-09381  

        注:CNVD技(jì )術組成員單位奇虎360公(gōng)司提供了部分(fēn)參考信息。