背景概要:
微軟在6月補丁日(北京時間6-14)公告修復了Windows系統兩處高危安全漏洞,分別位於Windows search服務和快鍵方式(LNK文件)功能中。
第一處漏洞(CVE-2017-8543)的危害與不久之前的永恆之藍病毒利用的SMB服務漏洞相當,攻擊者可以在未授權的情況下,通過發送惡意數據包到SMB服務,從而遠程觸發漏洞,控制目標計算機,植入病毒或者木馬;
第二處漏洞(CVE-2017-8464)的危害是攻擊者洞利用Windows在解析快捷方式文件(LNK文件)時的系統機制缺陷,使系統在查看快捷方式時,加載攻擊者指定的惡意程序,從而觸發攻擊行為。
大名鼎鼎的“震網”(Stuxnet)病毒就是利用類似的安全漏洞,通過感染U盤,寫入快捷方式文件,從而利用快捷方式解析漏洞擺渡攻擊內部伊朗核設施的工業網絡。
此次安全公告編號為4025685:
https://technet.microsoft.com/en-us/library/security/4025685
本次共更新發布了多個針對Windows、Office、IE和Edge瀏覽器等的安全漏洞補丁,較新的操作系統通過自動更新即可修復,針對老舊平臺的需要手動選擇更新。
具體的修復指南見地址:
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
漏洞詳情:
CVE-2017-8543 | Windows Search 遠程代碼執行漏洞
該漏洞存在於Windows Search處理內存中的對象時,攻擊者利用此漏洞可以控制受影響的系統,安裝惡意程序,創建擁有完全用戶權限的新帳戶。遠程未經身份驗證的攻擊者可以通過SMB連接觸發此漏洞,通過向Windows Search服務發送特製的SMB消息,從而遠程利用此漏洞來提升權限和控制計算機。
當前的安全更新通過糾正Windows Search處理內存中的對象的方式來解決該漏洞。
CVE-2017-8464 | LNK 遠程代碼執行漏洞
該漏洞存在於Windows系統處理LNK文件時,允許執行了攻擊者預置的惡意代碼。
攻擊者通過向受害用戶展示快捷方式(可移動驅動器、遠程共享等方式),觸發Windows資源管理器或任何其他應用程序解析LNK文件,從而加載關聯的惡意二進制程序,進而執行攻擊代碼,成功利用此漏洞的攻擊者可以獲得與受害用戶相同的用戶權限。
此安全更新通過糾正快捷方式LNK引用的處理來解決該漏洞。
參考鏈接:
https://technet.microsoft.com/en-us/library/security/4025685
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8543
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464
相關推薦
