首页 CVE-2017-0213 神龙十问摘要 — 神龙十问 AI 深度分析摘要 更新于 2026-05-06
本页是神龙十问 AI 深度分析的
摘要版 。完整版(更长回答、追问、相关漏洞)需
登录查看 → Q1 这个漏洞是什么?(本质+后果) 🚨 **本质**:Windows COM Aggregate Marshaler 组件存在权限许可和访问控制缺陷。 💥 **后果**:本地攻击者可通过特制应用,在应用程序上下文中执行任意代码,导致**权限提升**。
Q2 根本原因?(CWE/缺陷点) 🔍 **缺陷点**:COM 权限许可和访问控制问题。 ⚠️ **CWE**:数据中未提供具体 CWE ID,但核心在于**访问控制失效**。
Q3 影响谁?(版本/组件) 🖥️ **受影响组件**:Microsoft Windows COM Aggregate Marshaler。 📋 **涉及版本**: - Windows Server 2008 SP2 和 R2 SP1 - Windows 7 SP1 - Windows 10 (部分版本如 1703 已测试) - Windows 8.1 / RT 8.1
Q4 黑客能干啥?(权限/数据) 🔓 **黑客能力**: - **权限**:从普通用户提升至 **Administrator** 或 SYSTEM 权限。 - **数据/操作**:执行任意代码,获取系统 Shell,可植入后门或横向移动。
Q5 利用门槛高吗?(认证/配置) ⚡ **利用门槛**: - **认证**:需要**本地访问权限**(Local Access)。 - **配置**:无需特殊配置,运行特制应用程序即可触发。 - **难度**:中等,已有成熟 PoC。
Q6 有现成Exp吗?(PoC/在野利用) 💣 **现成 Exp**: - **有**!GitHub 上多个仓库提供 PoC(如 shaheemirza, zcgonvh, eonrickity 等)。 - **在野**:Google Project Zero 已公开研究,Exploit-DB (EDB-ID: 42020) 有详细记录。 - **集成**:已有结合 Empire 等框架的利用版本。
Q7 怎么自查?(特征/扫描) 🔎 **自查方法**: - 检查系统版本是否在受影响列表中(Win 7 SP1, Win 10 旧版本等)。 - 扫描是否存在未打补丁的 COM 组件。 - 监控是否有异常进程尝试调用 COM Aggregate Marshaler 进行提权。
Q8 官方修了吗?(补丁/缓解) 🛡️ **官方修复**: - **已修复**:微软于 2017-05-12 发布安全公告。 - **措施**:安装 Windows 安全更新补丁。 - **参考**:Microsoft MSRC 公告及 Google Project Zero 报告。
Q9 没补丁咋办?(临时规避) 🚧 **临时规避**: - **立即打补丁**是最佳方案。 - 若无补丁,限制本地用户权限,禁用不必要的脚本执行。 - 部署 EDR 监控异常进程创建和权限提升行为。
Q10 急不急?(优先级建议) 🔥 **优先级**:**高**。 - 影响广泛(Win 7/10/Server 2008)。 - 利用简单(本地即可)。 - 后果严重(完全控制)。 - **建议**:立即检查并更新系统补丁!