CVE-2017-8464

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-02-10

Официальное описание

Windows Shell in multiple versions of Microsoft Windows allows local users or remote attackers to execute arbitrary code via a crafted .LNK file

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (LNK-троян, "CVE-2017-8464") позволяет злоумышленнику выполнить произвольный код на целевой системе. Для этого достаточно, чтобы пользователь открыл папку, содержащую специально созданный файл ярлыка (.LNK) и связанный с ним вредоносный файл (например, .CPL). Эксплуатация возможна: * Через съемный носитель (флешка, внешний диск). * Через сетевой ресурс (расшаренная папка). * Через ZIP-архив, который пользователь распаковывает на своем компьютере.

Windows автоматически обрабатывает ярлыки при отображении содержимого папки в Проводнике, что может привести к выполнению кода без явного запуска файла пользователем.

Как исправить

Установите официальное обновление безопасности от Microsoft. Номер необходимого обновления зависит от вашей версии ОС:

  • Windows 10: Установите обновление KB4022725 (ежемесячное накопительное обновление от июня 2017 г.).
  • Windows 8.1 / Windows Server 2012 R2: Установите обновление KB4022720.
  • Windows 7 / Windows Server 2008 R2: Установите обновление KB4022719.

Действия: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все предлагаемые важные обновления, включая указанные выше. 4. Перезагрузите систему.

Альтернативно (PowerShell с правами администратора):

Install-Module PSWindowsUpdate
Get-WindowsUpdate -AcceptAll -Install -AutoReboot

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

  1. Отключите отображение значков для ярлыков (самая эффективная мера). Это предотвратит автоматическую обработку .LNK-файлов Проводником.

    • Откройте Редактор реестра (regedit).
    • Перейдите к разделу: HKEY_CLASSES_ROOT\.lnk
    • Измените значение параметра (По умолчанию) с lnkfile на любое другое, например, unknown.
    • ВНИМАНИЕ: Это сломает функциональность всех ярлыков в системе. Ярлыки не будут открывать целевые файлы.

  2. Отключите автозапуск для съемных носителей через групповые политики:

    • Запустите gpedit.msc.
    • Перейдите: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Политики автозапуска.
    • Включите политику "Выключить автозапуск" и выберите "Все устройства".

  3. Блокировка на уровне сети/ПК:

    • Настройте правила брандмауэра для блокировки исходящих соединений на нестандартные порты.
    • Используйте антивирусное ПО с включенной функцией проверки съемных носителей.
    • Обучение пользователей: Запретите использовать неизвестные съемные носители и открывать вложения/архивы из непроверенных источников.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей