微軟今日曝光的漏洞被稱為“震網三代”, 牽扯出一段間諜往事

其中，CVE-2017-8464 被一些人稱為“震網三代”。何為“震網三代”？為什麼這兩個漏洞連名字都要這麼霸氣，它們能造成什麼影響？一一為你解析。

1.高危漏洞對內網主機造成極大威脅

據360提供給一份解析稱，該漏洞的是一個微軟Windows係統處理LNK文件過程中發生的遠程代碼執行漏洞。當存在漏洞的電腦被插上包含漏洞利用工具的U盤時，不需要任何額外操作，漏洞攻擊程序就可以借此完全控製用戶的電腦係統（該漏洞也可能由用戶訪問網絡共享、從互聯網下載、拷貝文件等操作被觸發和利用攻擊）。

該漏洞可在電腦不聯網、不做任何操作的情況下通過U盤、移動硬盤植入並利用，因此將會對一些隔離內網（例如公安、稅務、電子政務等行業用戶專網、工控網絡等）中的主機造成極大的威脅。由於該漏洞屬任意代碼執行漏洞，攻擊者可利用該漏洞向受害主機植入並執行病毒、木馬等惡意程序，從而完全控製受害主機，可能導致受害主機被執行攻擊、破壞、數據竊取等一係列惡意行為。

從“金山毒霸”的新浪官方微博今日發布的相關信息交叉確認了這兩個漏洞的危險。金山毒霸稱，“在企業場景中，遠程未經身份驗證的攻擊者可以通過SMB連接遠程觸發漏洞，然後控製目標計算機，”根據公告。受影響的是Windows Server 2016，2012，2008以及Windows 10,7和8.1等桌麵係統。”

細分開來， “震網三代”漏洞影響從Win7到最新的Windows 10操作係統以及Windows Vista操作係統，但不影響Windows XP /2003 係統。

“Windows搜索遠程命令執行漏洞”影響Windows XP/2003/Vista/7/8/8.1/10，以及Win Server2008/2010/2012/2016操作係統。

2.牽扯出一段間諜往事

震網（Stuxnet）病毒於2010年6月首次被檢測出來，是第一個專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒，比如核電站，水壩，國家電網。作為世界上首個網絡“超級破壞性武器”，Stuxnet的計算機病毒已經感染了全球超過 45000個網絡，伊朗遭到的攻擊最為嚴重，60%的個人電腦感染了這種病毒。

這中間也有個鬼畜的故事。

2010年，間諜組織買通伊朗核工廠的技術人員，將含有漏洞（CVE-2010-2568 ）利用工具的U盤插入了核工廠工業控製係統的電腦，被利用漏洞控製後的電腦繼續攻擊了核設施中的離心機設備，導致設備出現大量損壞，影響了伊朗核計劃的進程。此事件被曝光解密後，被業界稱為“震網事件（Stuxnet）”。

本次曝光的“LNK文件遠程代碼執行漏洞”同“震網事件”中所使用的、用於穿透核設施中隔離網絡的Windows安全漏洞CVE-2010-2568 非常相似。它可以很容易地被黑客利用，並組裝成用於攻擊基礎設施、核心數據係統等的網絡武器。因此，被稱之為“震網三代”。

有了震網一代和震網三代，震網二代去哪裏了？

2011年，各大反病毒廠商均宣稱發現了震網二代蠕蟲病毒，又名Duqu。取此名的原因是該蠕蟲會在臨時目錄下生成一些名為~DQ的隨機文件名的文件，用於記錄用戶的敏感和某些特定信息。

3.處置建議

若不能及時打補丁，建議禁用U盤、網絡共享及關閉Webclient Service，並建議管理員關注是否有業務與上述服務相關並做好恢複準備。

未打補丁的機器，建議立即關閉Windows Search服務。

目前微軟已經針對除了Windows 8係統外的操作係統提供了官方補丁，微軟官方補丁下載地址：

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464

目前微軟已經為“Windows搜索遠程命令執行漏洞”提供了官方補丁，微軟官方補丁下載地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543