微軟遠程命令執行及Windows本地提權高危漏洞通告

軟件 Windows 微軟 Windows Server 360企業安全 2017-05-13

近日有安全廠商公佈了一系列定向攻擊活動的事件總結,涉及到了3個之前未公開的微軟Office及Windows系統的漏洞,鑑於Office軟件的流行度,構成了比較嚴重的威脅。攻擊者可以利用此漏洞在電腦上執行執行任意指令,從而控制用戶系統;同時,攻擊者可能利用此漏洞提升權限從普通用戶到System權限。微軟已經在2017年5月10日發佈的例行補丁包中修復了相應的安全漏洞,強烈建議用戶儘快對系統做補丁升級以避免受到影響。

參考編號

CVE-2017-0261

CVE-2017-0262

CVE-2017-0263

威脅等級

CVE-2017-0261:高危

CVE-2017-0262:高危

CVE-2017-0263:高危

影響系統及版本

*CVE-2017-0261

Microsoft Office 2010 Service Pack 2 (32-bit editions)

Microsoft Office 2010 Service Pack 2 (64-bit editions)

Microsoft Office 2013 Service Pack 1 (32-bit editions)

Microsoft Office 2013 Service Pack 1 (64-bit editions)

Microsoft Office 2016 (32-bit edition)

Microsoft Office 2016 (64-bit edition)

*CVE-2017-0262

Microsoft Office 2010 Service Pack 2 (32-bit editions)

Microsoft Office 2010 Service Pack 2 (64-bit editions)

Microsoft Office 2013 RT Service Pack 1

Microsoft Office 2013 Service Pack 1 (32-bit editions)

Microsoft Office 2013 Service Pack 1 (64-bit editions)

Microsoft Office 2016 (32-bit edition)

Microsoft Office 2016 (64-bit edition)

*CVE-2017-0263

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1511 for 32-bit Systems

Windows 10 Version 1511 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1703 for 32-bit Systems

Windows 10 Version 1703 for x64-based Systems

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows 8.1 for 32-bit systems

Windows 8.1 for x64-based systems

Windows RT 8.1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

威脅類型

CVE-2017-0261:遠程代碼執行

CVE-2017-0262:遠程代碼執行

CVE-2017-0263:本地權限提升

漏洞描述

近日有安全廠商公佈了一系列定向攻擊活動的事件總結,涉及到了3個之前未公開的微軟Office及Windows系統的漏洞。

其中,Microsoft Office被發現在處理Word Encapsulated PostScript (EPS)文件機制上存在2個遠程命令執行漏洞(CVE-2017-0261、CVE-2017-0262)。攻擊者可以利用此漏洞向攻擊對象發送包含畸形EPS對象的DOC文檔,當目標點擊處理時導致在電腦上執行執行任意指令,從而控制用戶系統。另外,Windows系統在內核模式下,由於未能正確處理內存中對象存在漏洞(CVE-2017-0263),導致本地攻擊者可能利用此漏洞提升權限從普通用戶到System權限。

在被曝光的定向攻擊事件中,EPS相關的漏洞與本地提權漏洞被組合使用來實現對攻擊對象系統的完全控制,目前已發現的組合攻擊方法有:CVE-2017-0261 + CVE-2017-0001、CVE-2017-0262 + CVE-2017-0263。

目前以上漏洞相關的技術細節已經完全公開,攻擊者可能構造據此構造惡意代碼執行定向攻擊或進行基於文件加密的勒索,鑑於Office軟件的流行度,構成了比較嚴重的現實威脅。微軟已經在2017年5月10日發佈的例行補丁包中修復了相應的安全漏洞,強烈建議用戶儘快對系統做補丁升級以避免受到影響。

驗證方法

如果用戶目前在使用影響系統及版本節中的軟件而且沒有安裝2017年5月10日以後的完全更新,則系統受本通告漏洞的影響。

臨時處理方案

* 如果短期內無法更新Windows安全補丁,請不要打開任何不明來源的Office文件,包括且不僅限於郵件附件、網上下載、即時通信等來源。

修復建議

微軟官方已在最近的安全更新中修復了本通告相關的漏洞,請安裝補丁並重啟系統。

產品防護

360天眼未知威脅感知系統的流量探針在第一時間加入了對於CVE-2017-0262漏洞利用的檢測,可以及時發現針對此漏洞的攻擊利用。360天眼流量探針(傳感器)升級方法:系統配置->設備升級->規則升級,選擇“網絡升級”或“本地升級”。

微軟遠程命令執行及Windows本地提權高危漏洞通告

360天眼沙箱無需升級即可檢測針對CVE-2017-0262漏洞利用的惡意樣本。

微軟遠程命令執行及Windows本地提權高危漏洞通告

參考鏈接

https://blogs.technet.microsoft.com/msrc/2017/05/09/coming-together-to-address-encapsulated-postscript-eps-attacks/

https://www.fireeye.com/blog/threat-research/2017/05/eps-processing-zero-days.html

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-0262

相關推薦

'Steam被曝出0day提權漏洞,但廠商拒絕修復'
"近期,全球流行的Steam遊戲客戶端被曝出0day提權漏洞,影響全球一億多Steam用戶。該漏洞可讓機器上的低權限用戶以SYSTEM權限運行程序。這意味著惡意軟件很可能利用這個漏洞對受害者的機器進行深度破壞。近期,全球流行的Steam遊戲客戶端被曝出0day提權漏洞,影響...
Steam 軟件 維爾福 Windows 腳本語言 GitHub 電腦 2019-08-23
'微軟推送Windows Defender自定義更新解決SFC修復命令失敗問題'
"前段時間藍點網提到微軟向Windows 10 推送的某個累積更新安裝後使用SFC掃描以及檢測系統將出現異常。這個命令原本可以用來檢測系統文件改動並對異常文件進行恢復,可以將其看作是快速修復系統的簡略方式。微軟主要依靠簽名和哈希值來確保系統文件未遭到篡改,如果檢測到不同則認...
微軟 Windows 超級任天堂 Windows 10 技術 PowerShell 殺毒軟件 2019-08-21
'逾40款硬件驅動程序有漏洞,可讓黑客在Windows核心執行惡意程序'
"安全廠商Eclypsium上週在黑客技術年會Black Hat USA上公佈研究,20多家硬件廠商的40多款驅動程序有權限升級漏洞,可能導致攻擊者在Windows核心執行惡意程序。英特爾、英偉達等硬件廠商上榜,不過他們也都完成並推出修補程序。作業系統核心為和硬件通訊,需要...
Windows 黑客 操作系統 映泰集團 硬件 設計 微星科技 英偉達 英特爾 艾維克 中央處理器 瑞昱半導體 華為公司 GitHub 華碩電腦 2019-08-14
'Steam遊戲客戶端 本地提權 0day'
"​'''通過註冊表提權這個姿勢有水平...--- 魯迅'''文章內容來源amonitoring.ru下面為編譯內容介紹:俺挖漏洞也挖了好幾年了,自我感覺也擼了很多,但有個問題俺一直想不通也不能接受。那就是廠商非常不情願,去了解漏洞或者問題的信息。俺知道,如果其他人直接得指...
Steam 軟件 Windows 維爾福 跳槽那些事兒 2019-08-11
'Steam被曝出0day提權漏洞,但廠商拒絕修復'
"近期,全球流行的Steam遊戲客戶端被曝出0day提權漏洞,影響全球一億多Steam用戶。該漏洞可讓機器上的低權限用戶以SYSTEM權限運行程序。這意味著惡意軟件很可能利用這個漏洞對受害者的機器進行深度破壞。考慮到Steam是一款總用戶1.2億,日常在線用戶3百多萬,並時...
Steam 軟件 Windows 維爾福 信息安全 腳本語言 GitHub 搜索引擎 2019-08-11
緊急!Windows出現高危漏洞,請儘快修復!
緊急!Windows出現高危漏洞,請儘快修復!
大家還記得之前的勒索病毒嗎?當年造成了相當惡劣的影響,讓多少人聞風喪膽。而現在又有高危漏洞被發現,其嚴重性並不亞於當年的勒索病毒!一旦這個漏洞被黑客利用,...
Windows Windows 7 Windows 10 Linux Windows Server 操作系統 黑客 微軟 軟件 蘋果公司 Windows XP 電腦 程序員 中興通訊 Mac電腦 騰訊QQ 瀏覽器 2019-05-19
Windows高危漏洞CVE-2019-0708預警!
【Windows高危漏洞CVE-2019-0708預警!】微軟修復堪比永恆之藍的高危漏洞,警惕WannaCry蠕蟲全球再次爆發!今天,微軟發佈了針對遠程桌面(RDP)服務遠程代碼執行漏洞CVE-2019-0708的修復補丁。攻擊者一旦成功觸發該漏洞,便可以在目標系統上執行任...
Windows 7 Windows Server Windows Windows 8 Windows 10 微軟 Windows XP 2019-05-15
Apache 服務器存在高危提權漏洞,請升級至最新版本 2.4.39
Apache 服務器存在高危提權漏洞,請升級至最新版本 2.4.39
Apache HTTP 服務器於4月1日發佈了最新的穩定版本 2.4.39,主要是修復安全問題。點此進行下載。在發佈更新不久後,安全研究人員 Charle...
Apache 軟件 2019-04-06
微軟優先給Windows 10修漏洞,讓舊版本系統用戶陷入危險之中
微軟優先給Windows 10修漏洞,讓舊版本系統用戶陷入危險之中
導語Canthink頂級安全團隊研究人員表示,微軟對不同版本Windows系統使用不同的修補方式和節奏的做法,正使其廣大用戶陷入安全風險之中。微軟對不同版...
Windows 微軟 Windows 7 Windows 10 網絡安全焦點 2017-10-15
新的Windows漏洞被發現 微軟:我們不想管了
新的Windows漏洞被發現 微軟:我們不想管了
【中關村在線新聞資訊】8月1日消息:一般來說系統發現漏洞都是等著官方提供修復補丁來解決,但如果官方表示不解決問題那就很被動了。最近一個新發現的Window...
Windows Windows 2000 微軟 Windows 10 2017-08-03
Windows環境滲透技巧之PowerShell Payload的遠程執行
Windows環境滲透技巧之PowerShell Payload的遠程執行
譯者:h4d35預估稿費:100RMB投稿方式:發送郵件至linwei#360.cn,或登陸網頁版在線投稿在Windows環境的滲透測試過程中,Power...
Windows 腳本語言 PlayStation Python 2017-06-24
乾貨|重大安全預警:Windows兩處高危漏洞被修復
乾貨|重大安全預警:Windows兩處高危漏洞被修復
背景概要:微軟在6月補丁日(北京時間6-14)公告修復了Windows系統兩處高危安全漏洞,分別位於Windows search服務和快鍵方式(LNK文件...
網絡安全 Windows 微軟 信息安全 2017-06-17
微軟再次修補Windows XP漏洞
微軟再次修補Windows XP漏洞
微軟於週二(6/13)的Patch Tuesday例行性更新中修補了96個安全漏洞,其中有18個被列為重大(Critical)更新,還有兩個漏洞已遭黑客開...
網絡安全 Windows XP 微軟 Windows Server 2017-06-16
高危|Windows連曝2個遠程代碼執行漏洞,企業再陷網安危機!
高危|Windows連曝2個遠程代碼執行漏洞,企業再陷網安危機!
微軟6月補丁日披露兩個正在被利用的遠程代碼執行漏洞: Windows Search遠程代碼執行漏洞和LNK文件(快捷方式)遠程代碼執行漏洞,漏洞等級為嚴重...
Windows Windows Server Windows 8 Windows 10 2017-06-15
微軟修復大量高危漏洞,用戶需儘快升級打補丁
微軟修復大量高危漏洞,用戶需儘快升級打補丁
微軟的補丁星期二更新包括95個修復方案,解決了在Windows、Office、Skype、IE和Edge瀏覽器中的各種漏洞問題。27個補丁修復的是遠程代碼...
軟件 微軟 Windows Server Windows 10 2017-06-14
微軟收購Hexadite公司 致力於提升Windows 10安全性能
微軟收購Hexadite公司 致力於提升Windows 10安全性能
2017年06月13日 14:21 次閱讀 稿源:cnBeta.COM 條評論日前微軟已經宣佈收購了總部位於波士頓的Hexadite公司,希望藉助後者的人...
網絡安全 Windows 微軟 Windows 10 2017-06-14
利用windows上的虛擬機執行定時爬蟲並存入本地數據庫
利用windows上的虛擬機執行定時爬蟲並存入本地數據庫
感謝關注天善智能,走好數據之路↑↑↑歡迎關注天善智能,我們是專注於商業智能BI,大數據,數據分析領域的垂直社區,學習,問答、求職一站式搞定!今天在暢遊的主...
網絡爬蟲 Windows MongoDB NoSQL 2017-06-10
Linux版“永恆之藍”遠程代碼如何執行漏洞
Linux版“永恆之藍”遠程代碼如何執行漏洞
一、漏洞描述Samba是一套可使UNIX系列的操作系統與微軟Windows操作系統的SMB/CIFS網絡協議做連結的自由軟件。這個漏洞使得Samba客戶端...
Linux Windows 腳本語言 UNIX 2017-05-30
史上最糟糕的Windows遠程執行代碼漏洞
史上最糟糕的Windows遠程執行代碼漏洞
翻譯:shan66預估稿費:200RMB投稿方式:發送郵件至linwei#360.cn,或登陸網頁版在線投稿前言像過去一週的許多其他故事一樣,本文也要首先...
Windows Windows 7 Windows Vista 軟件 2017-05-22
推薦中...