[CVE-2017-8464]Microsoft Windows遠程命令執行漏洞復現

本文轉載自查看原文 2017-06-16 16:05 2706

版權聲明：本文為博主的原創文章，未經博主同意不得轉載

前言

記錄下自己的復現，保留意見

2017年6月13日，微軟官方發布編號為CVE-2017-8464的漏洞公告，官方介紹Windows系統在解析快捷方式時存在遠程執行任意代碼的高危漏洞，分別存在於LNK文件和Windows Search功能中。黑客可以通過U盤、網絡共享等途徑觸發漏洞，完全控制用戶系統，安全風險高危

概述

微軟的Patch Tuesday更新發布了多達95個針對Windows、Office、Skype、IE和Edge瀏覽器的補丁。其中27個涉及遠程代碼執行，18個補丁被微軟設定為嚴重(Critical)，76個重要(Important)，1個中等(Moderate)。其中，最危險的兩個漏洞存在於Windows Search功能和處理LNK文件的過程中。

利用第一個漏洞，黑客可以在存在Windows Search服務(WSS)的Windows系統中執行遠程代碼。要利用此漏洞，攻擊者可以向Windows Search 服務發送特制的 SMB 消息，而在WannaCry勒索病毒事件中，黑客同樣使用了SMB漏洞。國外媒體BleepingComputer報道稱，從今年秋季開始，也就是下一個版本的Windows 10更新（紅石3）發布之時，微軟計划在絕大部分Windows版本中禁用SMBv1。

另一個漏洞存在於LNK文件中的，攻擊者可以生成特制的快捷方式從而執行遠程代碼執行。這類攻擊之前曾被用在Stuxnet軟件中，幾年后被Zero Day Initiative (ZDI)項目發現。

微軟表示這兩個漏洞已經被利用。

漏洞編號CVE-2017-8543

漏洞等級

高危(Critical)

影響版本

Windows 10

Windows 7

Windows 8.1

Windows RT 8.1

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

漏洞詳情

此RCE漏洞存在於 Windows 搜索處理內存中的對象的環節。攻擊者可以利用漏洞控制系統，之后可以安裝程序; 查看、更改或刪除數據; 或者創建擁有完全用戶權限的新帳戶。

要利用此漏洞，攻擊者可以向Windows Search 服務發送特制的 SMB 消息。有目標計算機權限的攻擊者可以利用此漏洞來提升權限控制主機。此外，在企業環境下，遠程未經身份驗證的攻擊者可以通過 SMB 連接遠程觸發此漏洞，然后控制目標計算機。

漏洞編號CVE-2017-8464

漏洞等級

嚴重(Critical)

影響版本

Windows 10

Windows 7

Windows 8.1

Windows RT 8.1

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows Server 2012 R2

Windows Server 2016

漏洞簡介

RCE漏洞存在於Windows處理LNK文件的環節。攻擊者利用漏洞可以獲得與本地用戶相同的用戶權限。被使用此漏洞攻擊時，用戶權限較少的賬戶相較管理員權限的用戶受到的影響更小。

攻擊者可以給受害者一個惡意的LNK 文件和關聯的惡意二進制，文件可以存放在可移動磁盤或遠程共享中。當用戶用 Windows 資源管理器或任何其他能夠解析LNK文件的軟件，打開此驅動器（或遠程共享）時，惡意文件就會在目標系統上執行攻擊者的代碼。

值得一提的是，微軟昨天也專門為Windows XP和Windows Server 2003發布了安全更新，主要針對先前泄露的NSA入侵工具，我們在修復列表中也找到了CVE-2017-8543的身影。對於Windows XP、 Windows Vista、 Windows 8或Windows Server 2003等微軟不再支持的操作系統，修復方案見此。