漏洞概述
本周二微软官方发布了10月安全更新补丁,其中Windows DNSAPI远程代码执行漏洞(CVE-2017-11779)影响较大,攻击者可以通过精心构造的数据包达到远程代码执行并同时获取SYSTEM权限。通过微软发布的安全补丁可以修补,地址在https://portal.msrc.microsoft.com/en-us/security-guidance。
漏洞细节
漏洞编号
CVE-2017-11779
漏洞描述
Windows DNS客户端的堆溢出漏洞,该漏洞存在于 DNSAPI.dll中,精心构造的 DNS 响应数据包可以触发,成功利用可以实现 SYSTEM 权限的远程代码执行。
影响范围
Windows 8/Windows Server 2012,Windows 10/Windows Server 2016
危害
远程代码执行,获取SYSTEM权限
该漏洞本质上是由Windows DNS客户端中存在的多个堆溢出造成的,可以通过DNS服务器或者中间人攻击构造发送错误的 NSEC3 响应记录 ("RR") 来应答 dns 请求来触发并利用漏洞。
更多漏洞细节,可参考:
https://www.bishopfox.com/blog/2017/10/a-bug-has-no-name-multiple-heap-buffer-overflows-in-the-windows-dns-client/
漏洞说明
无论使用者是浏览网络或是执行日常任务时,电脑都会持续执行DNS请求,若黑客成功介入电脑与DNS伺服器之间,就能以恶意资料回应任何DNS请求,并触发该漏洞,在大多数条件下,相关攻击唯一的需求是让黑客与攻击目标处于同一网络环境。
CVE-2017-11779影响Windows 8至Windows 10,以及Windows Server 2012至Windows Server 2016,估计有数百万名用户受到波及。
漏洞修复
请尽快安装微软官方10月补丁,下载地址:
https://portal.msrc.microsoft.com/en-us/security-guidance
作为国内领先的互联网内容安全和行为审计与监管整体解决方案提供商,多年来任子行一直致力于网络信息安全建设,构建基于风险监测的网络安全防护理念,实现对信息数据的有效管控和安全防护,可有力确保您的网络组织与信息数据安全。未来,任子行将致力于“绿色、高效、安全”的网络技术和产品的创新研究,以打造最具竞争力的互联网内容安全和行为审计与监管的民族品牌,为网络信息安全保驾护航。