Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2017-11771

Опубликовано: 10 окт. 2017
Источник: msrc
CVSS3: 8.1
EPSS Средний

Уязвимость удаленного выполнения кода в Windows Search из-за некорректной обработки объектов в памяти

Описание

Злоумышленник, успешно воспользовавшийся этой уязвимостью, способен получить контроль над затронутой системой. После этого он способен устанавливать программы; просматривать, изменять или удалять данные; а также создавать новые учетные записи с полными правами пользователя.

Условия эксплуатации

Злоумышленник способен отправить специально созданные сообщения в службу Windows Search, чтобы воспользоваться уязвимостью. Злоумышленник с доступом к целевому компьютеру способен использовать эту уязвимость для повышения уровня доступа и получения контроля над компьютером. Кроме того, в корпоративной среде удаленный неаутентифицированный злоумышленник способен активировать уязвимость через SMB-соединение и затем получить контроль над целевым компьютером.

Решение

Обновление безопасности устраняет уязвимость путем корректировки обработки объектов в памяти Windows Search.

Способы защиты: Отключение службы WSearch

Шаги по развертыванию обходных способов вручную

  1. Нажмите Пуск, выберите Выполнить, введите "regedit" (без кавычек) и нажмите OK.
  2. Разверните HKEY_LOCAL_MACHINE.
  3. Разверните System, затем CurrentControlSet, затем Services.
  4. Выберите WSearch.
  5. В меню Файл выберите Экспорт.
  6. В диалоге Экспорт файла реестра введите “WSearch_configuration_backup.reg” и нажмите Сохранить.
  7. Дважды щелкните по значению с именем Start и измените поле Value data на 4.
  8. Нажмите OK.
  9. Запустите следующую команду в командной строке от имени администратора: sc stop WSearch.

Влияние обходного способа

Функциональность Windows Search не будет доступна для приложений, использующих ее для поиска.

Как отменить обходной способ

Нажмите Пуск, выберите Выполнить, введите "regedit" (без кавычек) и нажмите OK. В меню Файл выберите Импорт. В диалоге Импорт файла реестра выберите “WSearch_configuration_backup.reg” и нажмите Открыть.

Управляемые шаги по развертыванию обходных способов

  1. Сначала создайте резервную копию ключей реестра с помощью управляемого сценария развертывания с следующей командой: regedit /e WSearch_configuration_backup.reg HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WSearch.

  2. Затем сохраните следующее в файл с расширением .REG (например, Disable_WSearch.reg).

    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WSearch] "Start"=dword:00000004

  3. Запустите созданный в шаге 2 скрипт реестра на целевой машине с помощью следующей команды: regedit /s Disable_WSearch.reg.

  4. Запустите следующую команду в командной строке от имени администратора: sc stop WSearch.

Влияние обходного способа

Функциональность Windows Search не будет доступна для приложений, использующих ее для поиска.

Как отменить обходной способ

Восстановите исходное состояние, запустив следующую команду: regedit /s WSearch_configuration_backup.reg.

Обновления

ПродуктСтатьяОбновление
Windows Server 2008 for Itanium-Based Systems Service Pack 2
4042067
Security Update
Windows Server 2008 for 32-bit Systems Service Pack 2
4042067
Security Update
Windows Server 2008 for x64-based Systems Service Pack 2
4042067
Security Update
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
4042067
Security Update
Windows 7 for 32-bit Systems Service Pack 1
40416814041678
Monthly RollupSecurity Only
Windows 7 for x64-based Systems Service Pack 1
40416814041678
Monthly RollupSecurity Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
40416814041678
Monthly RollupSecurity Only
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
40416814041678
Monthly RollupSecurity Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1
40416814041678
Monthly RollupSecurity Only
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
4042067
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

Exploitation More Likely

Older Software Release

Exploitation More Likely

DOS

N/A

EPSS

Процентиль: 98%
0.65606
Средний

8.1 High

CVSS3

Связанные уязвимости

nvd логотип

CVE-2017-11771

CVSS3: 9.8
nvd
больше 7 лет назад

The Microsoft Windows Search component on Microsoft Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows a remote code execution vulnerability when it fails to properly handle DNS responses, aka "Windows Search Remote Code Execution Vulnerability".

github логотип

GHSA-9vvc-6v43-39qc

CVSS3: 9.8
github
около 3 лет назад

The Microsoft Windows Search component on Microsoft Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows a remote code execution vulnerability when it fails to properly handle DNS responses, aka "Windows Search Remote Code Execution Vulnerability".

fstec логотип

BDU:2017-02273

CVSS3: 9.8
fstec
больше 7 лет назад

Уязвимость компонента Microsoft Windows Search операционных систем Windows, позволяющая нарушителю выполнить произвольный код или получить конфиденциальную информацию о системе

EPSS

Процентиль: 98%
0.65606
Средний

8.1 High

CVSS3