Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2017-8543

Опубликовано: 13 июн. 2017
Источник: msrc
CVSS3: 8.1
EPSS Высокий

Уязвимость удаленного выполнения кода в Windows Search из-за некорректной обработки объектов в памяти

Описание

Злоумышленник, успешно использовавший эту уязвимость, способен взять под контроль уязвимую систему, а затем устанавливать программы; просматривать, изменять или удалять данные; создавать новые учетные записи с полными правами пользователя.

Условия эксплуатации

Для эксплуатации уязвимости злоумышленник способен отправить специально сформулированные сообщения службе Windows Search. Злоумышленник с доступом к целевому компьютеру способен использовать данную уязвимость для повышения уровня доступа и получения контроля над компьютером. Кроме этого, в корпоративной среде удаленный неаутентифицированный злоумышленник сможет дистанционно активировать уязвимость через соединение SMB и затем получить контроль над целевым компьютером.

Решение

Обновление безопасности устраняет уязвимость, исправляя способ, которым Windows Search обрабатывает объекты в памяти.

Способы защиты

Отключение службы WSearch

Шаги для интерактивного развертывания

  1. Нажмите Пуск, выберите Выполнить, введите "regedit" (без кавычек) и нажмите ОК.
  2. Разверните HKEY_LOCAL_MACHINE.
  3. Разверните System, затем CurrentControlSet, затем Services.
  4. Нажмите на WSearch.
  5. В меню Файл выберите Экспорт.
  6. В диалоге Экспорт файла реестра введите “WSearch_configuration_backup.reg” и нажмите Сохранить.
  7. Дважды нажмите на значение с именем Start и измените поле Значение на 4.
  8. Нажмите ОК.
  9. Выполните следующую команду в командной строке от имени администратора:
    sc stop WSearch

Влияние способа защиты

Функциональность Windows Search будет недоступна для приложений, использующих ее для поиска.

Как отменить способ защиты

  1. Нажмите Пуск, выберите Выполнить, введите "regedit" (без кавычек) и нажмите ОК.
  2. В меню Файл выберите Импорт.
  3. В диалоге Импорт файла реестра выберите “WSearch_configuration_backup.reg” и нажмите Открыть.

Шаги для управляемого развертывания

  1. Сначала создайте резервную копию ключей реестра, используя команду:
    regedit /e WSearch_configuration_backup.reg HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WSearch
  2. Затем сохраните следующее в файл с расширением .REG (например, Disable_WSearch.reg):
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WSearch] "Start"=dword:00000004
  3. Выполните созданный на шаге 2 скрипт реестра на целевом компьютере следующей командой:
    regedit /s Disable_WSearch.reg
  4. Выполните следующую команду в командной строке от имени администратора:
    sc stop WSearch

Как отменить способ защиты

Восстановите исходное состояние, выполнив следующую команду:

regedit /s WSearch_configuration_backup.reg

Обновления

ПродуктСтатьяОбновление
Windows Server 2008 for 32-bit Systems Service Pack 2
4024402
Security Update
Windows Server 2008 for x64-based Systems Service Pack 2
4024402
Security Update
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
4024402
Security Update
Windows 7 for 32-bit Systems Service Pack 1
40227194022722
Monthly RollupSecurity Only
Windows 7 for x64-based Systems Service Pack 1
40227194022722
Monthly RollupSecurity Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
40227194022722
Monthly RollupSecurity Only
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
40227194022722
Monthly RollupSecurity Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1
40227194022722
Monthly RollupSecurity Only
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
4024402
Security Update
Windows Server 2012
40227244022718
Monthly RollupSecurity Only

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

Yes

Latest Software Release

Exploitation More Likely

Older Software Release

Exploitation Detected

DOS

N/A

EPSS

Процентиль: 99%
0.75252
Высокий

8.1 High

CVSS3

Связанные уязвимости

nvd логотип

CVE-2017-8543

CVSS3: 9.8
nvd
около 8 лет назад

Microsoft Windows XP SP3, Windows XP x64 XP2, Windows Server 2003 SP2, Windows Vista, Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allow an attacker to take control of the affected system when Windows Search fails to handle objects in memory, aka "Windows Search Remote Code Execution Vulnerability".

github логотип

GHSA-w5g9-xvwm-4qf8

CVSS3: 9.8
github
около 3 лет назад

Microsoft Windows XP SP3, Windows XP x64 XP2, Windows Server 2003 SP2, Windows Vista, Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allow an attacker to take control of the affected system when Windows Search fails to handle objects in memory, aka "Windows Search Remote Code Execution Vulnerability".

fstec логотип

BDU:2017-01370

fstec
около 8 лет назад

Уязвимость службы Windows Search операционной системы Windows, позволяющая нарушителю выполнить произвольный код и получить неограниченный доступ к системе

EPSS

Процентиль: 99%
0.75252
Высокий

8.1 High

CVSS3