雷鋒網宅客頻道消息,北京時間 10 月 11 日凌晨�,微軟發布了新一輪安適更新�����,修復了多個安適漏洞,其中包孕一個 Office 高危漏洞(CVE-2017-11826)及 Microsoft Windows SMB Server 遠程代碼執行漏洞(CVE-2017-11780)���。這兩個到底是“何方妖孽”?且來一探究竟。
CVE-2017-11826
據新華社報道����, Office 的高危漏洞(CVE-2017-11826)幾乎影響微軟目前支持的所有Office版本���,黑客發送利用該漏洞的惡意Office文件����,沒有打補丁的用戶點開文件就會中招�����,成為被控制的肉雞�����。
雷鋒網了解到�,此漏洞是由 360 安適團隊最早發現并向微軟陳訴該漏洞細節。其在 9 月下旬首次監測到利用 Office 0day 漏洞的真實攻擊�����,攻擊者使用針對性的釣魚文檔�,誘使用戶點擊包羅漏洞攻擊程序的惡意Word文檔,在受害者電腦中駐留一個以文檔竊密為主要功能的遠程控制木馬。
安適專家體現,這種攻擊方式與常見的 Office 宏病毒差別���,在打開宏文檔時,Office 通常會發出警告,但利用該漏洞的攻擊卻沒有任何提示��,再加上文檔文件歷來給人們的印象就是無毒無害����,,人們一般難以察覺和防御,相關的 0day 漏洞利用也很容易傳播泛濫�。
實際上���, 2017 年至今���,黑客針對廣大用戶日常必備的辦公軟件進行的 0day 攻擊呈增長趨勢�。攻擊者利用該漏洞誘導用戶打開藏有惡意代碼的 Office 文件�����,從而在系統上執行任意命令�,達到控制用戶系統的目的��,甚至還可能將該漏洞應用于 APT 攻擊�����。
美國五角大樓網絡安適辦事商��、趨勢科技旗下的ZDI(零日計劃)項目組也把該漏洞列為本月最危險安適漏洞。
360 首席工程師鄭文彬提醒廣大網民���,要盡快給電腦打上微軟提供的補丁���,同時不要打開來路不明的 Office 文檔���,相關單位也需要警惕此類 0day 漏洞的定向攻擊�。
CVE-2017-11780
Microsoft Windows是美國微軟公司發布的一系列操作系統。辦事器信息塊(SMB)是一個網絡文件共享協議,它允許應用程序和終端用戶從遠端的文件辦事器拜候文件資源�。此次微軟修復的 Microsoft Windows SMB Server 遠程代碼執行漏洞(CNVD-2017-29681���,對應CVE-2017-11780)��,遠程攻擊者成功利用漏洞可允許在目標系統上執行任意代碼,如果利用失敗將導致拒絕辦事。
這一漏洞也被國家信息安適漏洞共享平臺(CNVD)收錄��,CNVD對該漏洞的綜合評級為“高?���!薄>C合業內各方研判情況��,該漏洞影響版本范圍跨度大��,一旦漏洞細節披露��,將造成極為廣泛的攻擊威脅,或可誘發APT攻擊。
雷鋒網提醒用戶警惕出現“WannaCry”蠕蟲翻版�����,建議按照本文中“受影響系統版本”和“微軟官方補丁編號”及時做好漏洞排查和處置工作��。
一�����、漏洞影響范圍
二�����、處理辦法
微軟官方發布了升級補丁修復該漏洞��,CNVD建議用戶盡快升級程序,打開Windows Update功能�����,然后點擊“檢查更新”按鈕�����,按照業務情況下載安置相關安適補丁�,安置完畢后重啟辦事器���,檢查系統運行情況��。
具體系統操作流程如下:
安天安適研究與應急處理中心(安天CERT)也整理了差別系統版本微軟官方補丁編號及參考鏈接�,如表所示:
三���、臨時解決方案
鑒于部分用戶存在不能及時安置補丁的情形���,安天CERT也給出了可采用的臨時辦法:
以Windows7 系統的處理流程為例
1��、關閉網絡���。
2�����、打開“控制面板→系統與安適→Windows防火墻”�����,點擊左側“啟動或關閉Windows防火墻”�����。
3�����、選擇“啟用Windows防火墻”,并點擊確定�。
4����、點擊“高級設置”�。
5、點擊“入站規則→新建規則”����,以 445 端口為例�。
