打开微信扫一扫
该漏洞的是一个微软Windows系统处理LNK文件过程中发生的远程代码执行漏洞。当存在漏洞的电脑被插上包含漏洞利用工具的U盘时,不需要任何额外操作,漏洞攻击程序就可以借此完全控制用户的电脑系统(该漏洞也可能由用户访问网络共享、从互联网下载、拷贝文件等操作被触发和利用攻击)。
危害:
该漏洞可在电脑不联网、不做任何操作的情况下通过U盘、移动硬盘植入并利用,因此将会对一些隔离内网中的主机造成极大的威胁。由于该漏洞属任意代码执行漏洞,攻击者可利用该漏洞向受害主机植入并执行病毒、木马等恶意程序,从而完全控制受害主机,可能导致受害主机被执行攻击、破坏、数据窃取等一系列恶意行为。
受影响版本:
windows 7(32/64位)
windows 8(32/64位)
windows 8.1(32/64位)
windows 10(32/64位,RTM/TH2/RS1/RS2)
windows server 2008(32/64位/IA64)
windows server 2008 R2(64位/IA64)
windows server 2012
windows server 2012 R2
windows server 2016
windows Vista
临时解决方案
对于无法及时更新补丁的主机,我们建议采用如下的方式进行缓解:
(一)“震网三代”LNK文件远程代码执行漏洞(cve-2017-8464)
建议在服务器环境执行以下缓解措施:
禁用U盘、网络共享及关闭Webclientservice;
请管理员关注是否有业务与上述服务相关并做好恢复准备;
(二)Windows搜索远程命令执行漏洞(cve-2017-8543)
关闭windowsSearch服务。
根治方案
(一)“震网三代”LNK文件远程代码执行漏洞(cve-2017-8464)
根据微软官方补丁下载地址,下载并安装:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms
(二)Windows搜索远程命令执行漏洞(cve-2017-8543)
根据微软官方补丁下载地址,下载并安装:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms