【漏洞预警】Microsoft Windows SMB远程代码执行漏洞(CVE-2017-11780)
BaCde 2382天前2017年10月10日,微软发布了最新补丁,其中一个严重漏洞补丁发布,该漏洞为微软公司Windows操作系统SMB协议的远程代码执行漏洞,CVE编号为CVE-2017-11780。该漏洞等级为高危。影响Windows 7到Windows 2016的众多系统版本。由于使用Windows系统使用众多,影响较广。白帽汇这里提醒,使用Windows系统的用户尽快打上最新的补丁,以免受到该漏洞影响。
根据白帽汇FOFA(https://www.fofa.so)系统显示,目前全球共有3251600个微软Windows系统的SMB服务开放。其中美国地区使用最多,共有1296313个;中国大陆地区第二,共有523798个;俄罗斯第四,共有277954个;日本第五,共有197636个;中国香港特比行政区第五,共有90735个。
其中国内地区使用最多的地区为北京,共有128188个;浙江省第二,共有102089个;江苏省第三,共有54090个;河南省第五,共有29990个;广东省第五,共有23538个。
微软Windows系统SMB全球分布情况(仅为分布情况,非漏洞影响情况)
微软Windows系统SMB中国地区分布情况(仅为分布情况,非漏洞影响情况)
漏洞原理与危害
微软Windows系统存在易于受攻击的远程代码执行漏洞。 攻击者可以利用该漏洞对目标系统远程执行任意代码,而失败的攻击也将造成DoS(denial of service)攻击。
漏洞影响
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 version 1511 for 32-bit Systems
Microsoft Windows 10 version 1511 for x64-based Systems
Microsoft Windows 10 version 1703 for 32-bit Systems
Microsoft Windows 10 version 1703 for x64-based Systems
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for x64-based Systems
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2016
漏洞POC
目前暂未发布相关PoC,白帽汇会持续跟进该漏洞,并及时对PoC进行相关更新。
CVE编号
CVE-2017-11780
修复建议
白帽汇推荐两种方式获得并安装补丁:内网WSUS服务、微软官网Microsoft Update服务。
如果想启动windowsupdate 更新,可在命令提示符下,键入 wuauclt.exe /detectnow。也可以在Windows服务列表中启动Windows update服务,奖该服务设为启动。
1、内网WSUS服务
对于非技术部门的用户,系统可以设置为定时自动下载并安装所需的安全补丁,用户只需按提示重新启动计算机即可。
对于其他部门的用户,系统可以设置为定时自动下载所需的安全补丁并提示安装,用户可以按提示进行安装和重启系统。
如果希望尽快安装补丁,用户可以重新启动一次计算机。
2、微软官网Microsoft Update服务
未启用内网WSUS服务的计算机,用户需要确保windows 自动更新启用,按照提示安装补丁并重启计算机
启用内网WSUS服务的计算机但没有与内网连接的计算机,用户需要点击开始菜单-所有程序-windowsupdate,点击“在线检查来自windows update的更新”,按提示进行操作。
白帽汇会持续对该漏洞进行跟进。后续可以关注本文。
参考
[1] https://www.symantec.com/securityresponse/vulnerability.jsp?bid=101110&omrssid=sr-advisories
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-大数据安全协作平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。
评论正在提交,请稍等...
最新评论