Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2017-8620

Опубликовано: 08 авг. 2017
Источник: msrc
CVSS3: 8.1
EPSS Высокий

Уязвимость удаленного выполнения кода в Windows Search из-за некорректной обработки объектов в памяти

Описание

Уязвимость позволяет злоумышленнику, успешно ее использующему, получить контроль над атакуемой системой. Злоумышленник способен устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными правами пользователя.

Условия эксплуатации

Для эксплуатации уязвимости злоумышленник может отправить специально сформированные сообщения службе Windows Search. С имеющим доступ к целевому компьютеру злоумышленник способен использовать данную уязвимость для увеличения уровня доступа и получения контроля над компьютером. В корпоративной среде удаленный неаутентифицированный злоумышленник может удаленно активировать уязвимость через подключение SMB и затем взять контроль над целевым компьютером.

Решение

Обновление безопасности исправляет уязвимость, корректируя обработку объектов в памяти службой Windows Search.

Способы защиты

Отключение службы WSearch

  1. Нажмите Пуск, выберите Выполнить, введите "regedit" (без кавычек) и нажмите ОК.
  2. Разверните HKEY_LOCAL_MACHINE.
  3. Разверните System, затем CurrentControlSet, затем Services.
  4. Выберите WSearch.
  5. Перейдите в меню Файл и выберите Экспорт.
  6. В диалоговое окно Экспорт файла реестра введите “WSearch_configuration_backup.reg” и нажмите Сохранить.
  7. Дважды щелкните значение Start и измените поле Значение на 4.
  8. Нажмите ОК.
  9. Выполните следующую команду от имени администратора:
    sc stop WSearch

Влияние на систему

Функционал Windows Search будет недоступен приложениям, использующим его для поиска.

Как отменить

  1. Нажмите Пуск, выберите Выполнить, введите "regedit" (без кавычек) и нажмите ОК.
  2. Перейдите в меню Файл и выберите Импорт.
  3. В диалоговом окне Импорта файла реестра выберите “WSearch_configuration_backup.reg” и нажмите Открыть.

Автоматическое развертывание защиты

  1. Создайте резервную копию ключей реестра с помощью управляемого сценария развертывания следующей командой:

    regedit /e WSearch_configuration_backup.reg HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WSearch

  2. Сохраните следующий текст в файл с расширением .REG (например, Disable_WSearch.reg):

    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WSearch] "Start"=dword:00000004

  3. Выполните сценарий реестра, созданный на шаге 2, на целевой машине командой:

    regedit /s Disable_WSearch.reg

  4. Выполните следующую команду от имени администратора:

    sc stop WSearch

Как отменить

Верните систему в исходное состояние, выполнив следующую команду:

regedit /s WSearch_configuration_backup.reg

Обновления

ПродуктСтатьяОбновление
Windows Server 2008 for Itanium-Based Systems Service Pack 2
4034034
Security Update
Windows Server 2008 for 32-bit Systems Service Pack 2
4034034
Security Update
Windows Server 2008 for x64-based Systems Service Pack 2
4034034
Security Update
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
4034034
Security Update
Windows 7 for 32-bit Systems Service Pack 1
40346644034679
Monthly RollupSecurity Only
Windows 7 for x64-based Systems Service Pack 1
40346644034679
Monthly RollupSecurity Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
40346644034679
Monthly RollupSecurity Only
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
40346644034679
Monthly RollupSecurity Only
Windows Server 2008 R2 for x64-based Systems Service Pack 1
40346644034679
Monthly RollupSecurity Only
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
4034034
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

Exploitation More Likely

Older Software Release

Exploitation More Likely

EPSS

Процентиль: 99%
0.71568
Высокий

8.1 High

CVSS3

Связанные уязвимости

nvd логотип

CVE-2017-8620

CVSS3: 8.1
nvd
почти 8 лет назад

Windows Search in Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows a remote code execution vulnerability when it improperly handles objects in memory, aka "Windows Search Remote Code Execution Vulnerability".

github логотип

GHSA-rghm-5fqg-3p9g

CVSS3: 8.1
github
около 3 лет назад

Windows Search in Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allows a remote code execution vulnerability when it improperly handles objects in memory, aka "Windows Search Remote Code Execution Vulnerability".

EPSS

Процентиль: 99%
0.71568
Высокий

8.1 High

CVSS3