42 分钟
0x0005_又见“震网”_20170614 赛博战线-网络安全专业频道
-
- 科技
0x005_又见“震网”20170614
1.事件简介
昨日,我刚刚做完上期的《“暗云”来袭》的节目,本以为可以休息几天,再组织些“震网”病毒的内容做为下一期的选题。不料,就在今天(2017年6月14日)各大安全机构再次发布了漏洞安全通告,其中一个内容就是“震网三代”。看来,我的下一期节目只能提前了。
先说一下此次“安全通告”的情况:
本次通告主要针对Windows Search远程代码执行漏洞(cve-2017-8543)及LNK文件快捷方式代码执行漏洞(cve-2017-8464)。
微软 14 日凌晨发布的安全公告,称 CVE-2017-8464 被国家背景的网 络攻击所使用,实施攻击。
该漏洞的原理同 2010 年破坏伊朗核设施的震网行动中所使用的、用于穿透 核设施中隔离网络的 Windows 安全漏洞 CVE-2010-2568 非常相似。它可以很容易 地被黑客利用并组装成用于攻击基础设施、存放关键资料的核心隔离系统等的网 络武器。
微软在同一天发布了 Windows XP 和 Windows Server 2003 等 Windows 不继续 支持的版本的补丁,这个修改是为了避免上月发生的 WannaCry 蠕虫勒索事件的 重现。
Window XP 的补丁更新可以在微软下载中心找到,但不会自动通过 Windows 推送。
1.1.Microsoft Windows Search 远程命令执行漏洞
1.1.1.漏洞背景
Windows 搜索服务(Windows Search Service)漏洞是一个远程代码执行漏洞(WSS:Windows 中允许用户跨多个 Windows 服务和客户机搜索的 功能)。
Windows Search的功能是为我们电脑中的文件、电子邮件和其他内容提供内容索引、属性缓存和搜索结果。Windows Search默认是开机启动的,它会利用计算机的空闲时间来建立索引,加大对计算机硬盘的使用率。攻击者通过精心构造”搜索”的Server MessageBlock (SMB)消息来攻击windows search组件,从而实现远程命令执行,同时获取到所有管理权限。
1.1.2.漏洞影响
危害级别: 严重
发现日期: 2017年6月13号
1.1.3.漏洞编号
CVE-2017-8543
1.1.4.影响版本
◆Microsoft Windows 10 Version 1607 for32-bit Systems
◆Microsoft Windows 10 Version 1607 forx64-based Systems
◆Microsoft Windows 10 for 32-bit Systems
◆Microsoft Windows 10 for x64-based Systems
◆Microsoft Windows 10 version 1511 for32-bit Systems
◆Microsoft Windows 10 version 1511 forx64-based Systems
◆Microsoft Windows 10 version 1703 for32-bit Systems
◆Microsoft Windows 10 version 1703 forx64-based Systems
◆Microsoft Windows 7 for 32-bit Systems SP1
◆Microsoft Windows 7 for x64-based SystemsSP1
◆Microsoft Windows 8.1 for 32-bit Systems
◆Microsoft Windows 8.1 for x64-based Systems
◆Microsoft Windows RT 8.1
◆Microsoft Windows Server 2008 R2 forItanium-based Systems SP1
◆Microsoft Windows Server 2008 R2 forx64-based Systems SP1
◆Microsoft Windows Server 2008 for 32-bitSystems SP2
◆Microsoft Windows Server 2008 for x64-basedSystems SP2
◆Microsoft Windows Server 2012
◆Microsoft Windows Server 2012 R2
◆Microsoft Windows Server 2016
1.2.Microsoft Windows LNK 快捷方式远程命令执行漏洞
1.2.1.漏洞背景
该漏洞是一个微软 Windows 系统处理 LNK 文件过程中发生的远程代码执行 漏洞。在windows中快捷方式LNK文件小巧,打开程序方便。但是也会因为漏洞造成很大影响,比如远程命令执行。攻击者可以通过(u)盘等设备包含恶意LNK文件进行传播,当存在漏洞的电脑被插上存在漏洞文件的 U 盘时,不需要任何额外操作, 漏洞攻击程序就可以借此完全控制用户的电脑系统。如果用户通过Windows资源管理器或者远程共享打开了恶意LNK文件,或者从互联网下载、拷
0x005_又见“震网”20170614
1.事件简介
昨日,我刚刚做完上期的《“暗云”来袭》的节目,本以为可以休息几天,再组织些“震网”病毒的内容做为下一期的选题。不料,就在今天(2017年6月14日)各大安全机构再次发布了漏洞安全通告,其中一个内容就是“震网三代”。看来,我的下一期节目只能提前了。
先说一下此次“安全通告”的情况:
本次通告主要针对Windows Search远程代码执行漏洞(cve-2017-8543)及LNK文件快捷方式代码执行漏洞(cve-2017-8464)。
微软 14 日凌晨发布的安全公告,称 CVE-2017-8464 被国家背景的网 络攻击所使用,实施攻击。
该漏洞的原理同 2010 年破坏伊朗核设施的震网行动中所使用的、用于穿透 核设施中隔离网络的 Windows 安全漏洞 CVE-2010-2568 非常相似。它可以很容易 地被黑客利用并组装成用于攻击基础设施、存放关键资料的核心隔离系统等的网 络武器。
微软在同一天发布了 Windows XP 和 Windows Server 2003 等 Windows 不继续 支持的版本的补丁,这个修改是为了避免上月发生的 WannaCry 蠕虫勒索事件的 重现。
Window XP 的补丁更新可以在微软下载中心找到,但不会自动通过 Windows 推送。
1.1.Microsoft Windows Search 远程命令执行漏洞
1.1.1.漏洞背景
Windows 搜索服务(Windows Search Service)漏洞是一个远程代码执行漏洞(WSS:Windows 中允许用户跨多个 Windows 服务和客户机搜索的 功能)。
Windows Search的功能是为我们电脑中的文件、电子邮件和其他内容提供内容索引、属性缓存和搜索结果。Windows Search默认是开机启动的,它会利用计算机的空闲时间来建立索引,加大对计算机硬盘的使用率。攻击者通过精心构造”搜索”的Server MessageBlock (SMB)消息来攻击windows search组件,从而实现远程命令执行,同时获取到所有管理权限。
1.1.2.漏洞影响
危害级别: 严重
发现日期: 2017年6月13号
1.1.3.漏洞编号
CVE-2017-8543
1.1.4.影响版本
◆Microsoft Windows 10 Version 1607 for32-bit Systems
◆Microsoft Windows 10 Version 1607 forx64-based Systems
◆Microsoft Windows 10 for 32-bit Systems
◆Microsoft Windows 10 for x64-based Systems
◆Microsoft Windows 10 version 1511 for32-bit Systems
◆Microsoft Windows 10 version 1511 forx64-based Systems
◆Microsoft Windows 10 version 1703 for32-bit Systems
◆Microsoft Windows 10 version 1703 forx64-based Systems
◆Microsoft Windows 7 for 32-bit Systems SP1
◆Microsoft Windows 7 for x64-based SystemsSP1
◆Microsoft Windows 8.1 for 32-bit Systems
◆Microsoft Windows 8.1 for x64-based Systems
◆Microsoft Windows RT 8.1
◆Microsoft Windows Server 2008 R2 forItanium-based Systems SP1
◆Microsoft Windows Server 2008 R2 forx64-based Systems SP1
◆Microsoft Windows Server 2008 for 32-bitSystems SP2
◆Microsoft Windows Server 2008 for x64-basedSystems SP2
◆Microsoft Windows Server 2012
◆Microsoft Windows Server 2012 R2
◆Microsoft Windows Server 2016
1.2.Microsoft Windows LNK 快捷方式远程命令执行漏洞
1.2.1.漏洞背景
该漏洞是一个微软 Windows 系统处理 LNK 文件过程中发生的远程代码执行 漏洞。在windows中快捷方式LNK文件小巧,打开程序方便。但是也会因为漏洞造成很大影响,比如远程命令执行。攻击者可以通过(u)盘等设备包含恶意LNK文件进行传播,当存在漏洞的电脑被插上存在漏洞文件的 U 盘时,不需要任何额外操作, 漏洞攻击程序就可以借此完全控制用户的电脑系统。如果用户通过Windows资源管理器或者远程共享打开了恶意LNK文件,或者从互联网下载、拷
42 分钟