微软安全公告 MS17-012 - 严重
Windows 安全更新 (4013078)
发布日期: 2017年3月14日
版本: 1.0
执行摘要
此安全更新解决了 Microsoft Windows 中的漏洞。最严重的漏洞可能允许攻击者在运行连接到 iSNS 服务器的特制应用程序后向服务器发出恶意请求,从而实现远程代码执行。
此安全更新对于 Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows 10 版本 1607 和 Windows Server 2016 被评为“严重”,对于 Windows Vista、Windows 7、Windows 8.1、Windows RT 8.1、Windows 10 和 Windows 10 版本 1511 被评为“重要”。有关详细信息,请参阅“受影响的软件和漏洞严重性评级”部分。
安全更新通过以下方式解决漏洞:
- 纠正设备守护验证已签名 PowerShell 脚本的某些元素的方式
- 纠正 Microsoft SMBv2/SMBv3 客户端处理特制请求的方式
- 纠正 Windows 在加载 DLL 文件之前验证输入的方式
- 修改 Windows dnsclient 处理请求的方式
- 纠正 Helppane.exe 对客户端进行身份验证的方式
- 修改 iSNS 服务器服务解析请求的方式
有关漏洞的详细信息,请参阅“漏洞信息”部分。
有关此更新的详细信息,请参阅 Microsoft 知识库文章 4013078。
受影响的软件和漏洞严重性评级
以下软件版本或 editions 受到影响。未列出的版本或 editions 要么已超过其支持生命周期,要么不受影响。要确定软件版本或 edition 的支持生命周期,请参阅 Microsoft 支持生命周期。
为每个受影响的软件指示的严重性等级假设漏洞的潜在最大影响。有关此安全公告发布后 30 天内漏洞可利用性与其严重性等级和安全影响相关的可能性的信息,请参阅 3 月公告摘要中的可利用性指数。
注意 请参阅安全更新指南以获取使用安全更新信息的新方法。您可以自定义视图并创建受影响的软件电子表格,以及通过 restful API 下载数据。有关更多信息,请参阅安全更新指南常见问题解答。提醒一下,安全更新指南将取代安全公告。有关更多详细信息,请参阅我们的博客文章《进一步推进我们对安全更新的承诺》。
操作系统
| 操作系统 | 设备守护安全功能绕过漏洞 - CVE-2017-0007 | SMBv2/SMBv3 空引用拒绝服务漏洞 - CVE-2017-0016 | Windows DLL 加载远程代码执行漏洞 - CVE-2017-0039 | Windows DNS 查询信息泄露漏洞 - CVE-2017-0057 | Windows 帮助窗格权限提升漏洞 - CVE-2017-0100 | iSNS 服务器内存损坏漏洞 - CVE-2017-0104 | 替换的更新 |
|---|---|---|---|---|---|---|---|
| Windows Vista | 不适用 | 不适用 | 重要 - 远程代码执行 | 不适用 | 不适用 | 不适用 | 无 |
| Windows Server 2008 | 不适用 | 不适用 | 重要 - 远程代码执行 | 不适用 | 不适用 | 严重 - 远程代码执行 | 无 |
| Windows 7 | 不适用 | 不适用 | 重要 - 远程代码执行 | 不适用 | 重要 - 权限提升 | 不适用 | 无 |
| Windows Server 2008 R2 | 不适用 | 不适用 | 重要 - 远程代码执行 | 不适用 | 重要 - 权限提升 | 严重 - 远程代码执行 | 3212646 |
| Windows 8.1 | 不适用 | 重要 - 拒绝服务 | 不适用 | 重要 - 信息泄露 | 重要 - 权限提升 | 不适用 | 3205401 |
| Windows Server 2012 | 不适用 | 不适用 | 不适用 | 不适用 | 重要 - 权限提升 | 严重 - 远程代码执行 | 3205409 |
| Windows Server 2012 R2 | 不适用 | 重要 - 拒绝服务 | 不适用 | 重要 - 信息泄露 | 重要 - 权限提升 | 严重 - 远程代码执行 | 3205401 |
| Windows RT 8.1 | 不适用 | 重要 - 拒绝服务 | 不适用 | 重要 - 信息泄露 | 重要 - 权限提升 | 不适用 | 3205401 |
| Windows 10 | 重要 - 安全功能绕过 | 重要 - 拒绝服务 | 不适用 | 重要 - 信息泄露 | 重要 - 权限提升 | 不适用 | 3210720 |
| Windows Server 2016 | 重要 - 安全功能绕过 | 重要 - 拒绝服务 | 不适用 | 重要 - 信息泄露 | 重要 - 权限提升 | 严重 - 远程代码执行 | 3213986 |
[1] 从 2016 年 10 月发布开始,Microsoft 已更改 Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012 和 Windows Server 2012 R2 的更新服务模型。有关更多信息,请参阅此 Microsoft TechNet 文章。
[2] 此更新仅通过 Windows Update 提供。
[3] Windows 10 和 Windows Server 2016 更新是累积性的。每月安全版本包括影响 Windows 10 的所有漏洞的安全修复程序,以及非安全更新。这些更新可通过 Microsoft 更新目录获得。请注意,自 2016 年 12 月 13 日起,Windows 10 和 Windows Server 2016 的累积更新详细信息将记录在版本说明中。请参阅版本说明以了解操作系统内部版本号、已知问题和受影响的文件列表信息。
*“替换的更新"列仅显示被取代链中的最新更新。有关被取代更新的完整列表,请转到 Microsoft 更新目录,搜索更新 KB 编号,然后查看更新详细信息(被取代更新信息在"包详细信息"选项卡上提供)。
更新常见问题解答
此更新是否包含任何与功能相关的额外安全更改?
是的。除了此公告中描述的漏洞所列的更改之外,此更新还包括深度防御更新,以帮助改进安全相关功能。
漏洞信息
设备守护安全功能绕过漏洞 - CVE-2017-0007
当设备守护未正确验证已签名 PowerShell 脚本的某些元素时,存在安全功能绕过漏洞。成功利用此漏洞的攻击者可以修改 PowerShell 脚本的内容,而不会使与文件关联的签名失效。由于设备守护依赖签名来确定脚本是非恶意的,因此设备守护可能允许恶意脚本执行。
在攻击场景中,攻击者可以修改 PowerShell 脚本的内容,而不会使与文件关联的签名失效。
该更新通过纠正设备守护验证已签名 PowerShell 脚本的某些元素的方式来解决该漏洞。
SMBv2/SMBv3 空引用拒绝服务漏洞 - CVE-2017-0016
Microsoft 服务器消息块 2.0 和 3.0 (SMBv2/SMBv3) 客户端的实现中存在拒绝服务漏洞。该漏洞是由于恶意 SMB 服务器向客户端发送的某些请求处理不当造成的。成功利用此漏洞的攻击者可能导致受影响的系统停止响应,直到手动重新启动。
要利用该漏洞,攻击者可以使用各种方法,例如重定向器、注入的 HTML 标头链接等,这可能导致 SMB 客户端连接到恶意 SMB 服务器。
安全更新通过纠正 Microsoft SMBv2/SMBv3 客户端处理特制请求的方式来解决该漏洞。
Windows DLL 加载远程代码执行漏洞 - CVE-2017-0039
当 Microsoft Windows 在加载某些动态链接库 (DLL) 文件之前未能正确验证输入时,存在远程代码执行漏洞。成功利用该漏洞的攻击者可以控制受影响的系统。然后,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。配置为在系统上拥有较少用户权限的用户可能比使用管理用户权限操作的用户受到的影响更小。
要利用该漏洞,攻击者必须首先获得对本地系统的访问权限,并且能够执行恶意应用程序。
安全更新通过纠正 Windows 在加载 DLL 文件之前验证输入的方式来解决该漏洞。
Windows DNS 查询信息泄露漏洞 - CVE-2017-0057
当 Windows dnsclient 未能正确处理请求时,存在信息泄露漏洞。成功利用该漏洞的攻击者可以获取信息以进一步危害用户的系统。
攻击者可以利用该漏洞的多种方式: 如果目标是工作站,攻击者可以说服用户访问不受信任的网页。如果目标是服务器,攻击者将不得不诱骗服务器向恶意 DNS 服务器发送 DNS 查询。
安全更新通过修改 Windows dnsclient 处理请求的方式来解决该漏洞。
Windows 帮助窗格权限提升漏洞 - CVE-2017-0100
当配置为以交互用户身份运行的 Helppane.exe 中的 DCOM 对象未能正确验证客户端时,Windows 中存在权限提升漏洞。成功利用该漏洞的攻击者可以在另一个用户的会话中运行任意代码。
要利用该漏洞,攻击者必须首先登录系统。然后,攻击者可以运行特制的应用程序,一旦另一个用户通过终端服务或快速用户切换登录到同一系统,该应用程序就可以利用该漏洞。
该更新通过纠正 Helppane.exe 对客户端进行身份验证的方式来解决该漏洞。
iSNS 服务器内存损坏漏洞 - CVE-2017-0104
当 iSNS 服务器服务未能正确验证来自客户端的输入,导致整数溢出时,Windows 中存在远程代码执行漏洞。成功利用该漏洞的攻击者可以在 SYSTEM 帐户的上下文中运行任意代码。
攻击者可以通过创建特制的应用程序连接到 iSNS 服务器,然后向其发出恶意请求来利用该漏洞。
该更新通过修改 iSNS 服务器服务解析请求的方式来解决该漏洞。
安全更新部署
有关安全更新部署的信息,请参阅执行摘要中引用的 Microsoft 知识库文章。
致谢
Microsoft 感谢安全社区中那些通过协调漏洞披露帮助我们保护客户的人员所做的努力。有关更多信息,请参阅致谢。
免责声明
Microsoft 知识库中提供的信息"按原样"提供,不作任何形式的保证。Microsoft 否认所有明示或暗示的保证,包括适销性和特定用途适用性的保证。在任何情况下,Microsoft Corporation 或其供应商都不对任何损害承担任何责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使 Microsoft Corporation 或其供应商已被告知可能发生此类损害。有些州不允许排除或限制间接或附带损害的责任,因此上述限制可能不适用。
修订版本
- V1.0(2017年3月14日):公告发布。