|
近日,微软发布了新一轮安全更新,修复了多个安全漏洞,其中包括一个 Office 高危漏洞(CVE-2017-11826)及 Microsoft Win SMB Server 远程代码执行漏洞(CVE-2017-11780)。这两个到底是“何方妖孽”?且来一探究竟。 CVE-2017-11826 据新华社报道, Office 的高危漏洞(CVE-2017-11826)几乎影响微软现在支持的所有Office版本,黑客发送利用该漏洞的恶意Office文件,没有打补丁的用户点开文件就会中招,成为被控制的肉鸡。 此漏洞是由360 安全团队最早发现并向微软报告该漏洞细节。其在9月下旬首次监测到利用 Office 0day 漏洞的真实攻击,攻击者运用针对性的钓鱼文档,诱运用户点击包含漏洞攻击程序的恶意Word文档,在受害者电脑中驻留一个以文档窃密为主要功能的远程控制木马。 安全专业人士表示,这种攻击方式与常见的 Office 宏病毒不一样,在打开宏文档时,Office 通常会发出警告,但利用该漏洞的攻击却没有任何提示,再加上文档文件历来给人们的印象就是无毒无害,人们一般难以察觉和防御,相关的 0day 漏洞利用也很容易传播泛滥。 实际上,2017年至今,黑客针对广大用户日常必备的办公软件进行的 0day 攻击呈增长趋势。攻击者利用该漏洞诱导用户打开藏有恶意代码的 Office 文件,从而在系统上执行任意命令,达到控制用户系统的目的,甚至还可能将该漏洞使用于 APT 攻击。 美国五角大楼网络安全服务商、趋势科技旗下的ZDI(零日计划)项目组也把该漏洞列为本月最危险安全漏洞。
CVE-2017-11780 Microsoft Win是美国微软公司发布的一系列操作系统。服务器信息块(SMB)是一个网络文件共享协议,它允许使用程序和终端用户从远端的文件服务器访问文件资源。此次微软修复的 Microsoft Win SMB Server 远程代码执行漏洞(CNVD-2017-29681,对应CVE-2017-11780),远程攻击者成功利用漏洞可允许在目标系统上执行任意代码,如果利用失败将导致拒绝服务。 这一漏洞也被国家信息安全漏洞共享平台(CNVD)收录,CNVD对该漏洞的综合评级为“高危”。综合业内各方研判情况,该漏洞影响版本范围跨度大,一旦漏洞细节披露,将造成极为广泛的攻击威胁,或可诱发APT攻击。 用户应警惕出现“WannaCry”蠕虫翻版,建议根据本文中“受影响系统版本”和“微软官方补丁编号”及时做好漏洞排查和处置工作。 一、漏洞影响范围
微软官方发布了升级补丁修复该漏洞,CNVD建议用户尽快升级程序,打开Win Update功能,然后点击“检查更新”按钮,根据业务情况下载安装相关安全补丁,安装完毕后重新启动服务器,检查系统运行情况。 具体系统操作流程如下:
鉴于部分用户存在不能及时安装补丁的情形,安天CERT也给出了可采用的临时措施: 以Win 7系统的处理流程为例 1、关闭网络。
12、开启系统自动更新,并检测更新进行安装。 13、Win 7系统需要关闭Server服务才能够禁用445端口的连接。关闭操作系统的server服务:同时输入win键和R,输入services.msc,进入控制台。 双击Server,先停用,再选择禁用。
|
发表评论
