校園網用戶：

　　根據國家網絡與信息安全信息通報中心通報，近日爆發的“震網三代”LNK文件遠程代碼執行漏洞（CVE-2017-8464）和Windows搜索遠程命令執行漏洞（CVE-2017-8543）具有高度的威脅性，可以用于穿透物理隔離網絡，很容易地被黑客利用并組裝成用于攻擊基礎設施、存放關鍵資料的核心隔離系統等的網絡武器。該漏洞是一個微軟Windows系統處理LNK文件過程中發生的遠程代碼執行漏洞。

　　一、漏洞情況

　　1、“震網三代”LNK文件遠程代碼執行漏洞（文件遠程代碼執行漏洞）描述

　　物理隔離基礎設施、核心網絡通常需要使用U盤、移動硬盤等移動存儲設備進行數據交換，當有權限物理接觸被隔離系統的人員有意或無意（已經被入侵的情況下），將存在漏洞攻擊文件設備插入被隔離系統，就會使得惡意程序感染并控制被隔離系統。

　　2、Windows搜索遠程命令執行漏洞（搜索遠程命令執行漏洞）描述

　　當Windows搜索處理內存中的對象時，存在遠程代碼執行漏洞。成功利用此漏洞的攻擊者可以控制受影響的系統。攻擊者可以安裝、查看、更改或刪除數據，或者創建具有完全用戶權限的新帳戶。

　　為了利用該漏洞，攻擊者向 Windows搜索服務發送特定SMB消息。訪問目標計算機的攻擊者可以利用此漏洞提升權限并控制計算機。在企業場景中，一個未經身份驗證的遠程攻擊者可以遠程觸發漏洞，通過SMB連接然后控制目標計算機。

　　二、漏洞影響范圍

　　1、“震網三代”LNK文件遠程代碼執行漏洞

　　該漏洞影響從Win7到最新的Windows 10操作系統，漏洞同樣影響操作系統，但不影響XP\2003系統。具體受影響的操作系統列表如下：

　　Windows 7 (32/64位)

　　Windows 8 (32/64位)

　　Windows 8.1(32/64位)

　　Windows 10 (32/64位， RTM/TH2/RS1/RS2)

　　Windows Server 2008 (32/64/IA64)

　　Windows Server 2008 R2 (64/IA64)

　　Windows Server 2012

　　Windows Server 2012 R2

　　Windows Server 2016W

　　Windows Vista

　　2、Windows搜索遠程命令執行漏洞（搜索遠程命令執行漏洞）

　　具體受影響的操作系統列表如下：

　　Windows Server 2016 (Core installation)

　　Windows Server 2016

　　Windows Server 2012 R2(Server Core installation)

　　Windows Server 2012 R2

　　Windows Server 2012 (Core installation)

　　Windows Server 2012

　　Windows Server 2008 R2 for x64-based Systems Service Pack 1

　　Windows 8.1

　　Windows 7

　　Windows 10

　　三、漏洞排查和防范措施建議

　　（一）更新補丁

　　1、目前微軟公司已經針對除了Windows 8系統外的操作提供了官方補丁，請到微軟官方網站下載補丁并進行一鍵式修復。

　　https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8464

　　https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543

　　https://support.microsoft.com/zh-cn/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

　　（二）其他措施

　　1、對于目前無法及時更新補丁的主機，建議采用如下方式進行緩解：禁用U盤、網絡共享及關閉Webclient service、請管理員關注是否做好恢復準備、關閉Windows Search服務。

　　2、定期在不同的存儲介質上備份信息系統業務和個人數據。

　　3、下載主流殺毒軟件進行檢測和查殺。