Уязвимость удаленного выполнения кода в Windows Search из-за некорректной обработки объектов в памяти
Описание
Злоумышленник, успешно воспользовавшийся этой уязвимостью, способен получить контроль над атакуемой системой. После этого он может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными правами пользователя.
Условия эксплуатации
Чтобы воспользоваться уязвимостью, злоумышленник может отправить специально сформированные сообщения службе Windows Search. Злоумышленник, имеющий доступ к целевому компьютеру, способен использовать уязвимость для повышения уровня доступа и захвата контроля над компьютером. Кроме того, в корпоративной среде удаленный неаутентифицированный злоумышленник может активировать уязвимость через SMB-соединение и захватить контроль над целевым компьютером.
Решение
Обновление безопасности исправляет уязвимость, корректируя способ обработки объектов в памяти Windows Search.
Способы защиты
Отключение службы WSearch
Интерактивные шаги по развертыванию:
- Нажмите Пуск, выберите Выполнить, введите "regedit" (без кавычек) и нажмите ОК.
- Разверните HKEY_LOCAL_MACHINE.
- Разверните System, затем CurrentControlSet, затем Services.
- Выберите WSearch.
- Перейдите в меню Файл и выберите Экспорт.
- В диалоге экспорта реестра введите “WSearch_configuration_backup.reg” и нажмите Сохранить.
- Дважды щелкните параметр с именем Start и измените значение на 4.
- Нажмите ОК.
- Выполните следующую команду в командной строке, запущенной от имени администратора:
sc stop WSearch
Влияние защиты
Функциональность Windows Search будет недоступна для приложений, использующих ее для поиска.
Как отменить защиту
- Нажмите Пуск, выберите Выполнить, введите "regedit" (без кавычек) и нажмите ОК.
- Перейдите в меню Файл и выберите Импорт.
- В диалоге импорта реестра выберите “WSearch_configuration_backup.reg” и нажмите Открыть.
Управляемые шаги по развертыванию:
- Сначала создайте резервную копию ключей реестра с помощью команды управления развертыванием:
regedit /e WSearch_configuration_backup.reg HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WSearch
- Затем сохраните следующие данные в файл с расширением .REG (например, Disable_WSearch.reg):
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WSearch] "Start"=dword:00000004
- Запустите созданный в шаге 2 скрипт реестра на целевой машине с помощью команды:
regedit /s Disable_WSearch.reg
- Выполните следующую команду в командной строке, запущенной от имени администратора:
sc stop WSearch
Влияние защиты
Функциональность Windows Search будет недоступна для приложений, использующих ее для поиска.
Как отменить защиту
Восстановите исходное состояние, запустив следующую команду:
Загрузка...
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows Server 2008 for Itanium-Based Systems Service Pack 2 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) | ||
| Windows 7 for 32-bit Systems Service Pack 1 | ||
| Windows 7 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | ||
| Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
Связанные уязвимости
Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and Windows Server 2016 allows a remote code execution vulnerability due to the way that Windows Search handles objects in memory, aka "Windows Search Remote Code Execution Vulnerability".
Microsoft Windows 7 SP1, Windows Server 2008 SP2 and R2 SP1, Windows 8.1 and Windows RT 8.1, Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, 1703, and Windows Server 2016 allows a remote code execution vulnerability due to the way that Windows Search handles objects in memory, aka "Windows Search Remote Code Execution Vulnerability".
Уязвимость компонента Windows Search операционной системы Windows, позволяющая нарушителю выполнить произвольный код
EPSS