导语:最令人担忧的是目前正在受到攻击的两个漏洞,Windows Search远程执行代码漏洞(CVE-2017-8543)和LNK远程执行代码漏洞(CVE-2017-8464)。
在本月的微软补丁日,其发布了多达95项修复程序以解决Windows,Office,Skype,Internet Explorer及其Edge浏览器中的漏洞。其中的27个补丁修复了远程代码执行问题,它们允许攻击者远程控制受害者的PC。在本次的漏洞评级中有18个严重,76个重要,1个中等。
最令人担忧的是目前正在受到攻击的两个漏洞,Windows Search远程执行代码漏洞(CVE-2017-8543)和LNK远程执行代码漏洞(CVE-2017-8464)。
Windows 搜索远程命令执行漏洞
当 Windows 搜索处理内存中的对象时,存在远程代码执行漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。攻击者可以安装、查看、更改或删除据,或者创建具有完全用户权限的新帐户。
为了利用该漏洞,攻击者向 Windows 搜索服务发送特定 SMB 消息。访问目标计算机的攻击者可以利用此漏洞提升权限并控制计算机。在企业场景中,一个未经身份验证的远程攻击者可以远程触发漏洞,通过SMB 连接然后控制目标计算机。
影响版本
Windows 10 Windows 7 Windows 8.1 Windows RT 8.1 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016
LNK 文件远程代码执行漏洞
LNK 文件远程代码执行漏洞(cve-2017-8464)可以用于穿透物理隔离网络。微软 14 日凌晨发布的安全公告,称 CVE-2017-8464 被国家背景的网络攻击所使用,实施攻击。
该漏洞的原理同 2010 年美国和以色列入侵并破坏伊朗核设施的震网行动中所使用的、用于穿透核设施中隔离网络的 Windows 安全漏洞 CVE-2010-2568 非常相似。它可以很容易地被黑客利用并组装成用于攻击基础设施、存放关键资料的核心隔离系统等的网络武器。
影响版本
Windows 10 Windows 7 Windows 8.1 Windows RT 8.1 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Windows Server 2012 R2 Windows Server 2016
在周二对这些关键补丁进行发布的同时,微软还在同一天发布了补丁来解决对目前已经不支持更新的Windows版本如Windows XP和Windows Server 2003的修复。修复意图是为了阻止上个月发生 WannaCry ransomware的爆发。补丁遵循几周前发布的紧急补丁,也是XP。更新可在Microsoft下载中心找到,但不会通过Windows Update自动发送。
根据Qualys的安全专家所说,安全运维人员另外需要去关注的问题应该是Windows图形RCE漏洞(CVE-2017-8527)。该漏洞可在用户查看具有特制字体的恶意网站时被触发。“当Windows字体库不正确地处理特制的嵌入式字体时,就会存在远程执行代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统” 微软解释道。
“总体来说,这是一次大型的安全更新过程,与过去两个月相比,修补漏洞数量几乎翻了一番。Qualys工程总监Amol Sarwate表示,毫无疑问,所有的公司都会因为这些漏洞而开始忙碌。
除此之外,还需要注意的漏洞是Microsoft Office内存损坏漏洞(CVE-2017-8507),攻击者可以通过该漏洞向目标发送恶意电子邮件,并查看收件人Outlook中的消息。
最后要说的是,Microsoft修复了Microsoft Edge和IE的几个远程代码执行问题(CVE-2017-8498,CVE-2017-8530和CVE-2017-8523),这些都是公开披露的重要内容,目前没有发现任何攻击现象。