2020年11月11日,必达实验室天问安全团队依托监测平台发现微软(Microsoft)披露了Microsoft Windows 网络文件系统远程代码执行漏洞(CVE-2020-17051)。经分析,攻击者在未授权或无需与用户交互的情况下利用该漏洞执行任意代码。天问安全团队初步研判,该漏洞影响范围非常广泛,并提醒用户及时采取消控措施。
1. 漏洞分析
1.1 漏洞信息概要
注:漏洞类型与危害等级参考[信息安全技术 安全漏洞分类 GB/T 33561-2017]
1.2 漏洞详情描述
Microsoft Windows是美国微软(Microsoft)公司的一套个人设备使用的操作系统。Network File System(NFS)是使用在其中的一个网络文件系统组件,主要用于在异构系统中实现文件共享。
Microsoft Windows中的网络文件系统(NFSv3)存在远程代码执行漏洞,攻击者在未授权或无需与用户交互的情况下利用该漏洞执行任意代码。
1.3 漏洞影响评估
必达实验室天问安全团队评估认为,该漏洞可能在nfssvr.sys驱动程序中造成远程主机蓝屏死机,而微软同时披露的另一漏洞CVE-2020-17056(NFS中的一个远程内核数据读取漏洞)同样存在于nfssvr.sys驱动程序中,可导致绕过地址空间布局随机化(ASLR),CVE-2020-17051与CVE-2020-17056漏洞结合利用时,将增加远程利用的可能性,且如果NFS已配置为允许匿名写访问,则利用CVE-2020-17051漏洞可能造成网络蠕虫。鉴于Windows产品在中国的用户群体较大,建议受影响用户及时关注微软官方网站或更新至安全版本保证系统安全性。
必达实验室天问安全团队将持续对此漏洞开展分析,及时更新相关信息,并通告提醒用户。
2. 修复建议
Microsoft官方公告信息给出详细修复建议,获取链接如下:
https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2020-17051
3. 时间线
4. 参考链接
[1].https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2020-17051
[2].https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-17051-remote-kernel-heap-overflow-in-nfsv3-windows-server/
· 说明
1.此安全通告仅从安全技术分析角度用来描述该安全事件可能存在的安全问题,并以客观性、可靠性、及时性为分析原则,为用户提供安全通告服务,为网络安全消控工作提供支撑与保障;
2.此安全通告仅对分析时间段内的安全事件现有状况进行分析并成文,通告发布后若安全事件出现变更情况,此通告内容并非完全适用;
3.考虑到分析技术的局限性,除此安全通告提供的技术分析内容外,此安全事件可能存在未被发现的其他安全风险;
4.此安全通告由必达实验室天文安全团队提供技术分析,并编制成文,必达实验室拥有对此安全通告的修改和解释权。
5.使用者在传播、采纳和实施此安全通告提供的信息时应当遵守相关法律政策规定,若存在违反行为,或因使用此安全通告引起的任何结果,均由使用者本人负责。
6.必达实验室天问安全团队将持续跟踪该漏洞的相关情况,如需了解更多安全技术服务,或此安全通告的内容信息存在问题,请及时与我们联系。
扫一扫
22万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
