[資安公告] 2017 - Windows & Office 漏洞 0day 攻擊防護 | 才高八斗科技 Bearspac Technology 雲端服務專家

[資安公告] 2017 – Windows & Office 漏洞 0day 攻擊防護

By, Bearspace總編輯 on 15 5 月, 2017 / 最新消息

國外黑客組織Shadow Brokers於2016入侵NSA機構(美國國土安全部門)，並於2017洩露出了一份機密文檔，其中利用
透過入侵NSA取得的工具產生0day攻擊模式，包含了多個Windows 0Day遠程漏洞利用工具，外部攻擊者利用此工具可
遠程服務(Remote Desktop Service)攻擊並獲取服務器控制權限，該漏洞影響極大，建議以下列表的系統用戶進快
檢測更新。目前以知的漏洞計數種(Windows、Office、Server、Unix、Linux、freeBSD、Solaris)，本篇以影響
較大的 Windows 、 Office 兩種修補方式為主。

[Windows Like]
目前已知受影響的Windows版本包括但不限於(目前大量windows服務操作系統版本均在受影響之列)：
Windows NT
Windows 2000
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows 8
Windows 2008
Windows 2008 R2
Windows Server 2012 SP0

為保證您的業務安全，請您務必及時關注該漏洞並開展相應的安全整改措施，此次風險描述及修復方案如下：

【風險等級】
高風險

【漏洞風險】
駭客可以通過發布的工具，進行0day遠程攻擊

【影響服務】
主要影響Windows、RDP、Office服務

【漏洞修復建議】
1、推薦方案：更新官方更新
截至目前，此駭客組織所使用的 “一部分漏洞” ，官方均已發布相關更新，以下為建議的更新列表：
*注意 : 以下更新僅能補上部分漏洞，並無法完全保證100%安全性

NSA工具名稱　　　　　　　解決措施

“EternalBlue”　　　　　　　Addressed by MS17-010
“EmeraldThread”　　　　　Addressed by MS10-061
“EternalChampion”　　　　Addressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher”　　　　　 Addressed prior to the release of Windows Vista
“EsikmoRoll”　　　　　　 Addressed by MS14-068
“EternalRomance”　　　　 Addressed by MS17-010
“EducatedScholar”　　　　 Addressed by MS09-050
“EternalSynergy”　　　　　Addressed by MS17-010
“EclipsedWing”　　　　　 Addressed by MS08-067

若您的伺服器暫時不方便更新補丁，推薦的臨時解決方案如下：

1、臨時解決方案：(本方式是將NSA工具所使用的管道關閉，而非將此漏洞修復)
　1.1 以administrator 帳號進入 Windows 系統。
　1.2 [windows + r] (快速鍵)，輸入 gpedit.msc。
　1.3 開啟本機群組原則編輯。
　1.4 電腦設定 -> 系統管理範本 -> WIndows原件 -> 智慧卡
　1.5 依下圖方式進行服務關閉

　1.6 [windows + r] (快速鍵)，輸入 gpupdate /force。

[Office Like]
Office 類的漏洞主要應用於Office 內的 OLE物件進行入侵，主要流通管到在釣魚郵件、垃圾郵件，
此方式入侵主要可透過OLE傳輸，繞過微軟的記憶體防護機制，並 “任意木馬” 以及 “任意的程式” 到
受害者電腦上。

受影響的Office版本 :
Office XP
Office 2000
Office 2003
Office 2007
Office 2010
Office 2013
Office 2016

處理方式 :

為保證您的業務安全，請您務必及時關注該漏洞並開展相應的安全整改措施，此次風險描述及修復方案如下：

【風險等級】
高風險

【漏洞風險】
駭客可以通過Office OLE，進行0day遠程攻擊

【影響服務】
駭客將可透過此漏洞，於受駭者電腦上執行任意木馬、任意程式

【漏洞修復建議】
1、推薦方案：更新官方更新
截至目前，此駭客組織所使用的 “一部分漏洞” ，官方均已發布相關更新，以下為建議的更新列表：
*注意 : 以下更新僅能補上部分漏洞，並無法完全確保100%安全性

– Microsoft Outlook Remote Code Execution Vulnerability (CVE-2017-0106)
– Microsoft Outlook Remote Code Execution Vulnerability (CVE-2017-0199)
– Microsoft Office Memory Corruption Vulnerability (CVE-2017-0194)
– Microsoft Office Security Feature Bypass Vulnerability (CVE-2017-0204)
– Microsoft Office XSS Elevation of Privilege Vulnerability (CVE-2017-0195)
– Office DLL Loading Vulnerability (CVE-2017-0197)
– Microsoft Office Spoofing Vulnerability (CVE-2017-0207)

以上更新可至微軟更新搜索平台下載