首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >安全预警 | LNK漏洞(CVE-2017-8464)利用工具已被公开,可能用于APT攻击

安全预警 | LNK漏洞(CVE-2017-8464)利用工具已被公开,可能用于APT攻击

作者头像
安恒信息
发布2018-04-11 10:05:03
1.3K0
发布2018-04-11 10:05:03
举报
文章被收录于专栏:安恒信息安恒信息

近日, GitHub上公开了CVE-2017-8464漏洞的metasploit-framework利用模块。根据测试记录,利用模块在Windows 10 x64 (Build 14393)版本上有效:https://github.com/ykoster/metasploit-framework/blob/b669b9fb81efdec4f59177116ee9524d71527d37/documentation/modules/exploit/windows/fileformat/cve_2017_8464_lnk_rce.md。

拿到测试模块后,安恒应急响应中心团队在内部Windows7沙箱上测试成功,通过执行cve_2017_8464_lnk_rce.rb模块,将生成大量的.LNK文件(对应盘符从D到Z)和要加载的.dll文件(后门文件):

将所有样本文件拷到U盘里,然后将U盘插到Windows7机器上,默认自动执行:

样本执行成功将反弹回一个Session:

当U盘设置为不自动播放或将“Shell Hardware Detection”自动播放通知服务禁用后,则不会自动触发:

但点击U盘后,仍然可以触发,不需要点击.LNK文件,因此此类漏洞利用多用于在APT攻击中实现通过U盘摆渡攻击物理隔离的内网。

经过安恒应急响应中心团队的分析,该漏洞的补丁已包含在微软6月发布的安全更新包中,未打补丁的机器容易遭到该漏洞攻击。

根据微软的安全公告,XP、2003不受该漏洞影响:

https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

Vista以上系统将受影响,强烈建议安装更新补丁。补丁信息和下载地址如下:

https://support.microsoft.com/zh-cn/help/4025686/microsoft-security-advisory-4025685-guidance-for-supported-platforms

CVE-2017-8464漏洞影响的系统版本:

  • Windows Vista
  • Windows 8
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 R2
  • Windows 10
  • Windows Server 2016

- END -

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2017-07-26,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 安恒信息 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档