雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome）消息，北京時(shí)間10月11日凌晨，微軟發(fā)布了新一輪安全更新，修復(fù)了多個(gè)安全漏洞，其中包括一個(gè) Office 高危漏洞（CVE-2017-11826）及 Microsoft Windows SMB Server 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2017-11780）。這兩個(gè)到底是“何方妖孽”？且來(lái)一探究竟。

CVE-2017-11826

據(jù)新華社報(bào)道， Office 的高危漏洞（CVE-2017-11826）幾乎影響微軟目前支持的所有Office版本，黑客發(fā)送利用該漏洞的惡意Office文件，沒(méi)有打補(bǔ)丁的用戶點(diǎn)開(kāi)文件就會(huì)中招，成為被控制的肉雞。

雷鋒網(wǎng)了解到，此漏洞是由 360 安全團(tuán)隊(duì)最早發(fā)現(xiàn)并向微軟報(bào)告該漏洞細(xì)節(jié)。其在9月下旬首次監(jiān)測(cè)到利用 Office 0day 漏洞的真實(shí)攻擊，攻擊者使用針對(duì)性的釣魚(yú)文檔，誘使用戶點(diǎn)擊包含漏洞攻擊程序的惡意Word文檔，在受害者電腦中駐留一個(gè)以文檔竊密為主要功能的遠(yuǎn)程控制木馬。

安全專家表示，這種攻擊方式與常見(jiàn)的 Office 宏病毒不同，在打開(kāi)宏文檔時(shí)，Office 通常會(huì)發(fā)出警告，但利用該漏洞的攻擊卻沒(méi)有任何提示，再加上文檔文件歷來(lái)給人們的印象就是無(wú)毒無(wú)害，人們一般難以察覺(jué)和防御，相關(guān)的 0day 漏洞利用也很容易傳播泛濫。

實(shí)際上，2017年至今，黑客針對(duì)廣大用戶日常必備的辦公軟件進(jìn)行的 0day 攻擊呈增長(zhǎng)趨勢(shì)。攻擊者利用該漏洞誘導(dǎo)用戶打開(kāi)藏有惡意代碼的 Office 文件，從而在系統(tǒng)上執(zhí)行任意命令，達(dá)到控制用戶系統(tǒng)的目的，甚至還可能將該漏洞應(yīng)用于 APT 攻擊。

美國(guó)五角大樓網(wǎng)絡(luò)安全服務(wù)商、趨勢(shì)科技旗下的ZDI（零日計(jì)劃）項(xiàng)目組也把該漏洞列為本月最危險(xiǎn)安全漏洞。

360 首席工程師鄭文彬提醒廣大網(wǎng)民，要盡快給電腦打上微軟提供的補(bǔ)丁，同時(shí)不要打開(kāi)來(lái)路不明的 Office 文檔，相關(guān)單位也需要警惕此類 0day 漏洞的定向攻擊。

CVE-2017-11780

Microsoft Windows是美國(guó)微軟公司發(fā)布的一系列操作系統(tǒng)。服務(wù)器信息塊（SMB）是一個(gè)網(wǎng)絡(luò)文件共享協(xié)議，它允許應(yīng)用程序和終端用戶從遠(yuǎn)端的文件服務(wù)器訪問(wèn)文件資源。此次微軟修復(fù)的 Microsoft Windows SMB Server 遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2017-29681，對(duì)應(yīng)CVE-2017-11780），遠(yuǎn)程攻擊者成功利用漏洞可允許在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，如果利用失敗將導(dǎo)致拒絕服務(wù)。

這一漏洞也被國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄，CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?！薄＞C合業(yè)內(nèi)各方研判情況，該漏洞影響版本范圍跨度大，一旦漏洞細(xì)節(jié)披露，將造成極為廣泛的攻擊威脅，或可誘發(fā)APT攻擊。

雷鋒網(wǎng)提醒用戶警惕出現(xiàn)“WannaCry”蠕蟲(chóng)翻版，建議根據(jù)本文中“受影響系統(tǒng)版本”和“微軟官方補(bǔ)丁編號(hào)”及時(shí)做好漏洞排查和處置工作。

一、漏洞影響范圍

 

二、處理措施 

微軟官方發(fā)布了升級(jí)補(bǔ)丁修復(fù)該漏洞，CNVD建議用戶盡快升級(jí)程序，打開(kāi)Windows Update功能，然后點(diǎn)擊“檢查更新”按鈕，根據(jù)業(yè)務(wù)情況下載安裝相關(guān)安全補(bǔ)丁，安裝完畢后重啟服務(wù)器，檢查系統(tǒng)運(yùn)行情況。

具體系統(tǒng)操作流程如下：

安天安全研究與應(yīng)急處理中心（安天CERT）也整理了不同系統(tǒng)版本微軟官方補(bǔ)丁編號(hào)及參考鏈接，如表所示：

三、臨時(shí)解決方案

鑒于部分用戶存在不能及時(shí)安裝補(bǔ)丁的情形，安天CERT也給出了可采用的臨時(shí)措施：

以Windows 7系統(tǒng)的處理流程為例

1、關(guān)閉網(wǎng)絡(luò)。

2、打開(kāi)“控制面板→系統(tǒng)與安全→Windows防火墻”，點(diǎn)擊左側(cè)“啟動(dòng)或關(guān)閉Windows防火墻”。

3、選擇“啟用Windows防火墻”，并點(diǎn)擊確定。

4、點(diǎn)擊“高級(jí)設(shè)置”。

5、點(diǎn)擊“入站規(guī)則→新建規(guī)則”，以445端口為例。

6、選擇“端口”，點(diǎn)擊下一步。

7、選擇“特定本地端口”，輸入445，點(diǎn)擊下一步。

8、選擇“阻止連接”，點(diǎn)擊下一步。

9、全選“配置文件”中的選項(xiàng)，點(diǎn)擊下一步。

10、在名稱中可任意鍵入文字，點(diǎn)擊完成即可。

11、恢復(fù)網(wǎng)絡(luò)。

12、開(kāi)啟系統(tǒng)自動(dòng)更新，并檢測(cè)更新進(jìn)行安裝。

13、Windows 7系統(tǒng)需要關(guān)閉Server服務(wù)才能夠禁用445端口的連接。關(guān)閉操作系統(tǒng)的server服務(wù)：同時(shí)輸入win鍵和R，輸入services.msc，進(jìn)入控制臺(tái)。

雙擊Server，先停用，再選擇禁用。

最后重啟Windows 7。使用netstat –an查看445端口已不存在。

參考鏈接：

https://mp.weixin.qq.com/s/Isno97Ho1sYqBOtQjHtFBw

http://www.cnvd.org.cn/webinfo/show/4258

http://www.sohu.com/a/197462453_764248

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。