微軟補上一個漏洞 牽扯出一段間諜往事

6月14日，每月的第二個周二是微軟公司集中發(fā)布一批影響其產(chǎn)品安全漏洞的補丁日。

從今日凌晨發(fā)布的情況看，有兩個特殊漏洞值得關注：正在被利用的遠程代碼執(zhí)行漏洞(CVE-2017-8543) Windows Search遠程代碼執(zhí)行漏洞和(CVE-2017-8464)LNK文件（快捷方式）遠程代碼執(zhí)行漏洞。

其中，CVE-2017-8464被一些人稱為“震網(wǎng)三代”。

何為“震網(wǎng)三代”？為什么這兩個漏洞連名字都要這么霸氣，它們能造成什么影響？

1、高危漏洞對內(nèi)網(wǎng)主機造成極大威脅

這是一個微軟Windows系統(tǒng)處理LNK文件過程中發(fā)生的遠程代碼執(zhí)行漏洞。

當存在漏洞的電腦被插上包含漏洞利用工具的U盤時，不需要任何額外操作，漏洞攻擊程序就可以借此完全控制用戶的電腦系統(tǒng)（該漏洞也可能由用戶訪問網(wǎng)絡共享、從互聯(lián)網(wǎng)下載、拷貝文件等操作被觸發(fā)和利用攻擊）。

該漏洞可在電腦不聯(lián)網(wǎng)、不做任何操作的情況下通過U盤、移動硬盤植入并利用，因此將會對一些隔離內(nèi)網(wǎng)（例如公安、稅務、電子政務等行業(yè)用戶專網(wǎng)、工控網(wǎng)絡等）中的主機造成極大的威脅。

由于該漏洞屬任意代碼執(zhí)行漏洞，攻擊者可利用該漏洞向受害主機植入并執(zhí)行病毒、木馬等惡意程序，從而完全控制受害主機，可能導致受害主機被執(zhí)行攻擊、破壞、數(shù)據(jù)竊取等一系列惡意行為。

雷鋒網(wǎng)從“金山毒霸”的新浪官方微博今日發(fā)布的相關信息交叉確認了這兩個漏洞的危險。

金山毒霸稱：“在企業(yè)場景中，遠程未經(jīng)身份驗證的攻擊者可以通過SMB連接遠程觸發(fā)漏洞，然后控制目標計算機，”根據(jù)公告。受影響的是Windows Server 2016，2012，2008以及Windows 10,7和8.1等桌面系統(tǒng)。”

細分開來， “震網(wǎng)三代”漏洞影響從Win7到最新的Windows 10操作系統(tǒng)以及Windows Vista操作系統(tǒng)，但不影響Windows XP /2003 系統(tǒng)。

“Windows搜索遠程命令執(zhí)行漏洞”影響Windows XP/2003/Vista/7/8/8.1/10，以及Win Server2008/2010/2012/2016操作系統(tǒng)。

2、牽扯出一段間諜往事

震網(wǎng)（Stuxnet）病毒于2010年6月首次被檢測出來，是第一個專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒，比如核電站、水壩、國家電網(wǎng)。

作為世界上首個網(wǎng)絡“超級破壞性武器”，Stuxnet的計算機病毒已經(jīng)感染了全球超過 45000個網(wǎng)絡，伊朗遭到的攻擊最為嚴重，60%的個人電腦感染了這種病毒。

這中間也有個鬼畜的故事。

2010年，間諜組織買通伊朗核工廠的技術人員，將含有漏洞（CVE-2010-2568 ）利用工具的U盤插入了核工廠工業(yè)控制系統(tǒng)的電腦，被利用漏洞控制后的電腦繼續(xù)攻擊了核設施中的離心機設備，導致設備出現(xiàn)大量損壞，影響了伊朗核計劃的進程。此事件被曝光解密后，被業(yè)界稱為“震網(wǎng)事件（Stuxnet）”。

本次曝光的“LNK文件遠程代碼執(zhí)行漏洞”同“震網(wǎng)事件”中所使用的、用于穿透核設施中隔離網(wǎng)絡的Windows安全漏洞CVE-2010-2568 非常相似。它可以很容易地被黑客利用，并組裝成用于攻擊基礎設施、核心數(shù)據(jù)系統(tǒng)等的網(wǎng)絡武器。因此，被稱之為“震網(wǎng)三代”。

有了震網(wǎng)一代和震網(wǎng)三代，震網(wǎng)二代去哪里了？

2011年，各大反病毒廠商均宣稱發(fā)現(xiàn)了震網(wǎng)二代蠕蟲病毒，又名Duqu。取此名的原因是該蠕蟲會在臨時目錄下生成一些名為~DQ的隨機文件名的文件，用于記錄用戶的敏感和某些特定信息。

3、處置建議

若不能及時打補丁，建議禁用U盤、網(wǎng)絡共享及關閉Webclient Service，并建議管理員關注是否有業(yè)務與上述服務相關并做好恢復準備

未打補丁的機器，建議立即關閉Windows Search服務。

目前微軟已經(jīng)針對除了Windows 8系統(tǒng)外的操作系統(tǒng)提供了官方補丁，微軟官方補丁下載地址：

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464

目前微軟已經(jīng)為“Windows搜索遠程命令執(zhí)行漏洞”提供了官方補丁，微軟官方補丁下載地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543

https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms