近日，互联网上披露了关于Windows系统存在特权提升漏洞（CNNVD-201606-353）的相关情况。2016年6月，微软官方已针对该漏洞发布修复补丁。由于上述漏洞影响范围广，危害级别高危，国家信息安全漏洞库（CNNVD）对此进行了跟踪分析，情况如下：

一、漏洞简介

       Microsoft Windows和Internet Explorer（IE）都是美国微软（Microsoft）公司的产品。其中，Microsoft Windows是一系列操作系统，Internet Explorer（IE）是一款Windows操作系统附带的默认Web浏览器。

       Microsoft Windows和IE的Web代理自动发现(WPAD)协议中存在特权提升漏洞（CNNVD-201606-353，CVE-2016-3213）。远程攻击者可利用该漏洞绕过安全检查，并在目标系统上获得提升的特权。以下版本受到影响：Microsoft Windows Vista SP2，Windows Server 2008 SP2和R2 SP1，Windows 7 SP1，Windows 8.1，Windows Server 2012 Gold和R2，Windows RT 8.1，Windows 10 Gold和1511，Internet Explorer 9版本至11版本。

二、漏洞危害

       远程攻击者可通过Edge、Internet Explorer、Microsoft Office或在Windows中的第三方软件利用该漏洞劫持整个目标网络，并在目标系统上执行恶意代码。

三、修复措施

       1. 对于使用微软支持的Windows版本的用户，可通过安装微软官方推送的系统升级补丁，以修复漏洞。

       2. 对于使用Windows XP等微软不支持的Windows版本的用户，可按照微软官方给出的操作步骤禁用NetBiOSover TCP/IP服务或者关闭NetBiOS 137端口，以消除安全隐患。

       Windows公告链接：

       https://technet.microsoft.com/library/security/MS16-077

       https://technet.microsoft.com/library/security/MS16-063

       CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。

       如有需要，可与CNNVD联系。

       联系方式: [email protected]