微軟補(bǔ)上一個(gè)漏洞 牽扯出一段間諜往事

6月14日，每月的第二個(gè)周二是微軟公司集中發(fā)布一批影響其產(chǎn)品安全漏洞的補(bǔ)丁日。

從今日凌晨發(fā)布的情況看，有兩個(gè)特殊漏洞值得關(guān)注：正在被利用的遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-8543) Windows Search遠(yuǎn)程代碼執(zhí)行漏洞和(CVE-2017-8464)LNK文件（快捷方式）遠(yuǎn)程代碼執(zhí)行漏洞。

其中，CVE-2017-8464被一些人稱為“震網(wǎng)三代”。

何為“震網(wǎng)三代”？為什么這兩個(gè)漏洞連名字都要這么霸氣，它們能造成什么影響？

1、高危漏洞對(duì)內(nèi)網(wǎng)主機(jī)造成極大威脅

這是一個(gè)微軟Windows系統(tǒng)處理LNK文件過程中發(fā)生的遠(yuǎn)程代碼執(zhí)行漏洞。

當(dāng)存在漏洞的電腦被插上包含漏洞利用工具的U盤時(shí)，不需要任何額外操作，漏洞攻擊程序就可以借此完全控制用戶的電腦系統(tǒng)（該漏洞也可能由用戶訪問網(wǎng)絡(luò)共享、從互聯(lián)網(wǎng)下載、拷貝文件等操作被觸發(fā)和利用攻擊）。

該漏洞可在電腦不聯(lián)網(wǎng)、不做任何操作的情況下通過U盤、移動(dòng)硬盤植入并利用，因此將會(huì)對(duì)一些隔離內(nèi)網(wǎng)（例如公安、稅務(wù)、電子政務(wù)等行業(yè)用戶專網(wǎng)、工控網(wǎng)絡(luò)等）中的主機(jī)造成極大的威脅。

由于該漏洞屬任意代碼執(zhí)行漏洞，攻擊者可利用該漏洞向受害主機(jī)植入并執(zhí)行病毒、木馬等惡意程序，從而完全控制受害主機(jī)，可能導(dǎo)致受害主機(jī)被執(zhí)行攻擊、破壞、數(shù)據(jù)竊取等一系列惡意行為。

雷鋒網(wǎng)從“金山毒霸”的新浪官方微博今日發(fā)布的相關(guān)信息交叉確認(rèn)了這兩個(gè)漏洞的危險(xiǎn)。

金山毒霸稱：“在企業(yè)場(chǎng)景中，遠(yuǎn)程未經(jīng)身份驗(yàn)證的攻擊者可以通過SMB連接遠(yuǎn)程觸發(fā)漏洞，然后控制目標(biāo)計(jì)算機(jī)，”根據(jù)公告。受影響的是Windows Server 2016，2012，2008以及Windows 10,7和8.1等桌面系統(tǒng)?！?/p>

細(xì)分開來， “震網(wǎng)三代”漏洞影響從Win7到最新的Windows 10操作系統(tǒng)以及Windows Vista操作系統(tǒng)，但不影響Windows XP /2003 系統(tǒng)。

“Windows搜索遠(yuǎn)程命令執(zhí)行漏洞”影響Windows XP/2003/Vista/7/8/8.1/10，以及Win Server2008/2010/2012/2016操作系統(tǒng)。

2、牽扯出一段間諜往事

震網(wǎng)（Stuxnet）病毒于2010年6月首次被檢測(cè)出來，是第一個(gè)專門定向攻擊真實(shí)世界中基礎(chǔ)（能源）設(shè)施的“蠕蟲”病毒，比如核電站、水壩、國家電網(wǎng)。

作為世界上首個(gè)網(wǎng)絡(luò)“超級(jí)破壞性武器”，Stuxnet的計(jì)算機(jī)病毒已經(jīng)感染了全球超過 45000個(gè)網(wǎng)絡(luò)，伊朗遭到的攻擊最為嚴(yán)重，60%的個(gè)人電腦感染了這種病毒。

這中間也有個(gè)鬼畜的故事。

2010年，間諜組織買通伊朗核工廠的技術(shù)人員，將含有漏洞（CVE-2010-2568 ）利用工具的U盤插入了核工廠工業(yè)控制系統(tǒng)的電腦，被利用漏洞控制后的電腦繼續(xù)攻擊了核設(shè)施中的離心機(jī)設(shè)備，導(dǎo)致設(shè)備出現(xiàn)大量損壞，影響了伊朗核計(jì)劃的進(jìn)程。此事件被曝光解密后，被業(yè)界稱為“震網(wǎng)事件（Stuxnet）”。

本次曝光的“LNK文件遠(yuǎn)程代碼執(zhí)行漏洞”同“震網(wǎng)事件”中所使用的、用于穿透核設(shè)施中隔離網(wǎng)絡(luò)的Windows安全漏洞CVE-2010-2568 非常相似。它可以很容易地被黑客利用，并組裝成用于攻擊基礎(chǔ)設(shè)施、核心數(shù)據(jù)系統(tǒng)等的網(wǎng)絡(luò)武器。因此，被稱之為“震網(wǎng)三代”。

有了震網(wǎng)一代和震網(wǎng)三代，震網(wǎng)二代去哪里了？

2011年，各大反病毒廠商均宣稱發(fā)現(xiàn)了震網(wǎng)二代蠕蟲病毒，又名Duqu。取此名的原因是該蠕蟲會(huì)在臨時(shí)目錄下生成一些名為~DQ的隨機(jī)文件名的文件，用于記錄用戶的敏感和某些特定信息。

3、處置建議

若不能及時(shí)打補(bǔ)丁，建議禁用U盤、網(wǎng)絡(luò)共享及關(guān)閉Webclient Service，并建議管理員關(guān)注是否有業(yè)務(wù)與上述服務(wù)相關(guān)并做好恢復(fù)準(zhǔn)備

未打補(bǔ)丁的機(jī)器，建議立即關(guān)閉Windows Search服務(wù)。

目前微軟已經(jīng)針對(duì)除了Windows 8系統(tǒng)外的操作系統(tǒng)提供了官方補(bǔ)丁，微軟官方補(bǔ)丁下載地址：

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464

目前微軟已經(jīng)為“Windows搜索遠(yuǎn)程命令執(zhí)行漏洞”提供了官方補(bǔ)丁，微軟官方補(bǔ)丁下載地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543

https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms