微软远程命令执行及Windows本地提权高危漏洞通告

近日有安全厂商公布了一系列定向攻击活动的事件总结，涉及到了3个之前未公开的微软Office及Windows系统的漏洞，鉴于Office软件的流行度，构成了比较严重的威胁。攻击者可以利用此漏洞在电脑上执行执行任意指令，从而控制用户系统；同时，攻击者可能利用此漏洞提升权限从普通用户到System权限。微软已经在2017年5月10日发布的例行补丁包中修复了相应的安全漏洞，强烈建议用户尽快对系统做补丁升级以避免受到影响。

CVE-2017-0261

CVE-2017-0262

CVE-2017-0263

CVE-2017-0261：高危

CVE-2017-0262：高危

CVE-2017-0263：高危

*CVE-2017-0261

Microsoft Office 2010 Service Pack 2 (32-bit editions)

Microsoft Office 2010 Service Pack 2 (64-bit editions)

Microsoft Office 2013 Service Pack 1 (32-bit editions)

Microsoft Office 2013 Service Pack 1 (64-bit editions)

Microsoft Office 2016 (32-bit edition)

Microsoft Office 2016 (64-bit edition)

*CVE-2017-0262

Microsoft Office 2010 Service Pack 2 (32-bit editions)

Microsoft Office 2010 Service Pack 2 (64-bit editions)

Microsoft Office 2013 RT Service Pack 1

Microsoft Office 2013 Service Pack 1 (32-bit editions)

Microsoft Office 2013 Service Pack 1 (64-bit editions)

Microsoft Office 2016 (32-bit edition)

Microsoft Office 2016 (64-bit edition)

*CVE-2017-0263

Windows 10 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 Version 1511 for 32-bit Systems

Windows 10 Version 1511 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1703 for 32-bit Systems

Windows 10 Version 1703 for x64-based Systems

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows 8.1 for 32-bit systems

Windows 8.1 for x64-based systems

Windows RT 8.1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

CVE-2017-0261：远程代码执行

CVE-2017-0262：远程代码执行

CVE-2017-0263：本地权限提升

近日有安全厂商公布了一系列定向攻击活动的事件总结，涉及到了3个之前未公开的微软Office及Windows系统的漏洞。

其中，Microsoft Office被发现在处理Word Encapsulated PostScript (EPS)文件机制上存在2个远程命令执行漏洞（CVE-2017-0261、CVE-2017-0262）。攻击者可以利用此漏洞向攻击对象发送包含畸形EPS对象的DOC文档，当目标点击处理时导致在电脑上执行执行任意指令，从而控制用户系统。另外，Windows系统在内核模式下，由于未能正确处理内存中对象存在漏洞（CVE-2017-0263），导致本地攻击者可能利用此漏洞提升权限从普通用户到System权限。

在被曝光的定向攻击事件中，EPS相关的漏洞与本地提权漏洞被组合使用来实现对攻击对象系统的完全控制，目前已发现的组合攻击方法有：CVE-2017-0261 + CVE-2017-0001、CVE-2017-0262 + CVE-2017-0263。

目前以上漏洞相关的技术细节已经完全公开，攻击者可能构造据此构造恶意代码执行定向攻击或进行基于文件加密的勒索，鉴于Office软件的流行度，构成了比较严重的现实威胁。微软已经在2017年5月10日发布的例行补丁包中修复了相应的安全漏洞，强烈建议用户尽快对系统做补丁升级以避免受到影响。

如果用户目前在使用影响系统及版本节中的软件而且没有安装2017年5月10日以后的完全更新，则系统受本通告漏洞的影响。

* 如果短期内无法更新Windows安全补丁，请不要打开任何不明来源的Office文件，包括且不仅限于邮件附件、网上下载、即时通信等来源。

微软官方已在最近的安全更新中修复了本通告相关的漏洞，请安装补丁并重启系统。

360天眼未知威胁感知系统的流量探针在第一时间加入了对于CVE-2017-0262漏洞利用的检测，可以及时发现针对此漏洞的攻击利用。360天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

360天眼沙箱无需升级即可检测针对CVE-2017-0262漏洞利用的恶意样本。

blogs.technet.microsoft.com/msrc/2017/05/09/coming-together-to-address-encapsulated-postscript-eps-attacks/

www.fireeye.com/blog/threat-research/2017/05/eps-processing-zero-days.html

portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-0262