Bearspac Technology

[資安公告] 2017 – Windows & Office 漏洞 0day 攻擊防護

國外黑客組織Shadow Brokers於2016入侵NSA機構(美國國土安全部門),並於2017洩露出了一份機密文檔,其中利用
透過入侵NSA取得的工具產生0day攻擊模式,包含了多個Windows 0Day遠程漏洞利用工具,外部攻擊者利用此工具可
遠程服務(Remote Desktop Service)攻擊並獲取服務器控制權限,該漏洞影響極大,建議以下列表的系統用戶進快
檢測更新。目前以知的漏洞計數種(Windows、Office、Server、Unix、Linux、freeBSD、Solaris),本篇以影響
較大的 Windows 、 Office 兩種修補方式為主。

[Windows Like]
目前已知受影響的Windows版本包括但不限於(目前大量windows服務操作系統版本均在受影響之列):
Windows NT
Windows 2000
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows 8
Windows 2008
Windows 2008 R2
Windows Server 2012 SP0

為保證您的業務安全,請您務必及時關注該漏洞並開展相應的安全整改措施,此次風險描述及修復方案如下:

【風險等級】
高風險

【漏洞風險】
駭客可以通過發布的工具,進行0day遠程攻擊

【影響服務】
主要影響Windows、RDP、Office服務

【漏洞修復建議】
1、推薦方案:更新官方更新
截至目前,此駭客組織所使用的 “一部分漏洞” ,官方均已發布相關更新,以下為建議的更新列表:
*注意 : 以下更新僅能補上部分漏洞,並無法完全保證100%安全性

NSA工具名稱       解決措施

“EternalBlue”       Addressed by MS17-010
“EmeraldThread”     Addressed by MS10-061
“EternalChampion”    Addressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher”       Addressed prior to the release of Windows Vista
“EsikmoRoll”         Addressed by MS14-068
“EternalRomance”      Addressed by MS17-010
“EducatedScholar”      Addressed by MS09-050
“EternalSynergy”     Addressed by MS17-010
“EclipsedWing”       Addressed by MS08-067

若您的伺服器暫時不方便更新補丁,推薦的臨時解決方案如下:

1、臨時解決方案:(本方式是將NSA工具所使用的管道關閉,而非將此漏洞修復)
 1.1 以administrator 帳號進入 Windows 系統。
 1.2 [windows + r] (快速鍵),輸入 gpedit.msc。
 1.3 開啟本機群組原則編輯。
 1.4 電腦設定 -> 系統管理範本 -> WIndows原件 -> 智慧卡
 1.5 依下圖方式進行服務關閉

 1.6 [windows + r] (快速鍵),輸入 gpupdate /force。

[Office Like]
Office 類的漏洞主要應用於Office 內的 OLE物件進行入侵,主要流通管到在釣魚郵件、垃圾郵件,
此方式入侵主要可透過OLE傳輸,繞過微軟的記憶體防護機制,並 “任意木馬” 以及 “任意的程式” 到
受害者電腦上。

受影響的Office版本 :
Office XP
Office 2000
Office 2003
Office 2007
Office 2010
Office 2013
Office 2016

處理方式 :

為保證您的業務安全,請您務必及時關注該漏洞並開展相應的安全整改措施,此次風險描述及修復方案如下:

【風險等級】
高風險

【漏洞風險】
駭客可以通過Office OLE,進行0day遠程攻擊

【影響服務】
駭客將可透過此漏洞,於受駭者電腦上執行任意木馬、任意程式

【漏洞修復建議】
1、推薦方案:更新官方更新
截至目前,此駭客組織所使用的 “一部分漏洞” ,官方均已發布相關更新,以下為建議的更新列表:
*注意 : 以下更新僅能補上部分漏洞,並無法完全確保100%安全性

– Microsoft Outlook Remote Code Execution Vulnerability (CVE-2017-0106)
– Microsoft Outlook Remote Code Execution Vulnerability (CVE-2017-0199)
– Microsoft Office Memory Corruption Vulnerability (CVE-2017-0194)
– Microsoft Office Security Feature Bypass Vulnerability (CVE-2017-0204)
– Microsoft Office XSS Elevation of Privilege Vulnerability (CVE-2017-0195)
– Office DLL Loading Vulnerability (CVE-2017-0197)
– Microsoft Office Spoofing Vulnerability (CVE-2017-0207)

以上更新可至 微軟更新搜索平台 下載