CVE-2017-8543

Суть уязвимости

Уязвимость в компоненте Windows Search (WSearch) позволяет удаленному атакующему выполнить произвольный код на целевой системе. Это происходит из-за ошибки обработки объектов в памяти при разборе специально созданных сообщений. Атакующий может скомпрометировать систему, отправив вредоносный пакет на порт службы поиска.

Как исправить

Установите официальный патч от Microsoft. Для этого: 1. Определите версию своей ОС Windows (например, через winver). 2. Установите соответствующий патч (KB) через Центр обновления Windows или вручную со страницы Microsoft Update Catalog. * Для Windows 7, Server 2008 R2: Установите накопительное обновление за июнь 2017 года, включающее KB4022722. * Для Windows 8.1, Server 2012 R2: Установите накопительное обновление за июнь 2017 года, включающее KB4022726. * Для Windows 10 (1507, 1511, 1607), Server 2016: Установите соответствующие накопительные обновления за июнь 2017 года (например, для версии 1607 — KB4022715).

Проверка установки патча (PowerShell):

Get-HotFix -Id KB4022722, KB4022726, KB4022715 | Select-Object HotFixID, InstalledOn

Если команда вернет информацию — патч установлен.

Временное решение

Если немедленная установка обновления невозможна, заблокируйте сетевой доступ к службе Windows Search.

1. Остановите и отключите службу Windows Search (на постоянной основе не рекомендуется для рабочих станций): powershell Stop-Service WSearch -Force Set-Service WSearch -StartupType Disabled

2. Заблокируйте входящие подключения к порту TCP 5357 (порт службы WSearch) с помощью брандмауэра Windows: powershell New-NetFirewallRule -DisplayName "Block WSearch Port" -Direction Inbound -LocalPort 5357 -Protocol TCP -Action Block

3. Альтернативно, используйте групповые политики (GPO) для разблокировки порта только для доверенных хостов, которым необходим доступ к удаленному поиску.