CVE–2017–8464 LNK 代码执行漏洞是怎么攻击的

概述

CVE-2017-8464，也被称为“LNK远程代码执行漏洞”，是2017年发现的一个严重安全漏洞。该漏洞存在于Windows操作系统处理快捷方式文件（.LNK文件）的过程中，攻击者可以通过精心构造的.LNK文件在目标系统上执行任意代码。由于.LNK文件通常用于快速访问应用程序或文件，用户可能会在不知情的情况下触发恶意代码的执行。

漏洞背景

.LNK文件是Windows操作系统中的快捷方式文件，通常用于指向某个应用程序、文件或文件夹。当用户双击.LNK文件时，Windows会解析该文件并执行其指向的目标。然而，Windows在处理.LNK文件时存在一个漏洞，攻击者可以通过构造恶意的.LNK文件来绕过安全检查，从而在目标系统上执行任意代码。

漏洞原理

CVE-2017-8464漏洞的核心在于Windows Shell在处理.LNK文件时未能正确验证文件路径。具体来说，当.LNK文件指向一个远程资源（如网络共享或USB设备）时，Windows Shell会尝试加载该资源。如果攻击者能够控制该资源的内容，他们可以通过构造恶意的.LNK文件来执行任意代码。

攻击步骤

1. 构造恶意.LNK文件：攻击者首先需要构造一个恶意的.LNK文件。该文件指向一个远程资源（如网络共享或USB设备），并且包含恶意代码。

2. 诱使用户打开.LNK文件：攻击者需要通过某种方式将恶意.LNK文件传递给目标用户。常见的方法包括通过电子邮件附件、USB设备或网络共享。

3. 触发漏洞：当用户双击恶意.LNK文件时，Windows Shell会尝试加载该文件指向的远程资源。由于Windows Shell未能正确验证文件路径，恶意代码将被执行。

4. 执行任意代码：一旦恶意代码被执行，攻击者可以在目标系统上执行任意操作，如安装恶意软件、窃取敏感信息或控制系统。

漏洞影响

CVE-2017-8464漏洞的影响非常广泛，因为它允许攻击者在目标系统上执行任意代码。这意味着攻击者可以完全控制系统，窃取敏感信息，或安装恶意软件。此外，由于.LNK文件通常用于快速访问应用程序或文件，用户可能会在不知情的情况下触发恶意代码的执行。

漏洞修复

微软在2017年6月的安全更新中修复了CVE-2017-8464漏洞。用户可以通过安装最新的Windows安全更新来保护系统免受该漏洞的影响。此外，用户应避免打开来自不可信来源的.LNK文件，并定期更新操作系统和应用程序以保持系统安全。

结论

CVE-2017-8464是一个严重的远程代码执行漏洞，攻击者可以通过构造恶意的.LNK文件在目标系统上执行任意代码。用户应保持系统更新，并避免打开来自不可信来源的.LNK文件，以保护系统免受该漏洞的影响。