微軟5月周二補丁日修復(fù)了多個Windows零日漏洞,其中兩個漏洞據(jù)報已被俄羅斯聯(lián)盟集團利用。
微軟和安全研究人員不大同意在五月周二補丁日上修復(fù)的Windows零日漏洞的數(shù)目。
根據(jù)周二補丁日的CVE列表,Microsoft將Windows零日漏洞列為:一個Microsoft Office遠程代碼執(zhí)行(RCE)漏洞(CVE-2017-0261),一個Internet Explorer(IE)內(nèi)存損壞漏洞(CVE-2017 -0222)和一個Win32k特權(quán)升級錯誤(CVE-2017-0263)。然而,F(xiàn)ireEye和ESET的研究人員報告說,與俄羅斯有關(guān)的威脅組織利用的是第二個RCE版本(CVE-2017-0262)。
安全專家認為CVE-2017-0261要予以優(yōu)先考慮。如果受害者打開格式不正確的Microsoft Office圖形文件,則Windows零日漏洞能夠讓攻擊者完全接管系統(tǒng)。
FireEye研究人員表示,該漏洞已被Turla威脅集團利用開發(fā),而CVE-2017-0262已被APT28利用。 FireEye指出,這些Windows零日漏洞被用于“針對歐洲的外交和軍事機構(gòu)”。據(jù)稱,這兩個威脅組織與俄羅斯的cyberespionion和APT28相關(guān)(Sednit、Fancy Bear、Sofacy和Strontium),據(jù)報其是Pawn Storm運動和DNC黑客攻擊的幕后黑手。
據(jù)專家介紹,CVE-2017-0222也要優(yōu)先考慮,這是一個影響IE的Windows零日漏洞。Qualys公司漏洞實驗室總監(jiān)Amol Sarwate表示:“如果訪問攻擊者托管的惡意網(wǎng)站,用戶可能會受到威脅”,并且漏洞可能導(dǎo)致攻擊者完全控制系統(tǒng)。
第三個Windows零日漏洞修補程序解決了CVE-2017-0263,微軟表示,攻擊者可能會利用Windows內(nèi)核模式驅(qū)動程序在內(nèi)存中處理對象的漏洞。攻擊者登錄到系統(tǒng),通過一個特制的應(yīng)用程序利用這個Windows零日漏洞,將特權(quán)升級到完全的用戶權(quán)限。
除了Windows零日漏洞之外,Microsoft還修補了一些影響Windows Server Message Block(SMB)v1協(xié)議的RCE漏洞。四個SMBv1補?。–VE-2017-0272、CVE-2017-0277、CVE-2017-0278和CVE-2017-0279)被Microsoft評為關(guān)鍵,可能允許攻擊者遠程執(zhí)行目標服務(wù)器上的代碼。
Windows SMBv1自1月以來一直處在風(fēng)口浪尖。US-CERT提醒用戶完全禁用該協(xié)議時,該協(xié)議是安全的。在2017年3月份補丁日發(fā)布中,微軟在針對這些漏洞的NSA網(wǎng)絡(luò)武器發(fā)布之前,修復(fù)了SMBv1的漏洞。