微软高危漏洞威胁用户系统安全？建议尽快升级程序

　　北京时间10月11日凌晨，微软发布了新一轮安全更新，修复了多个安全漏洞，其中包括一个Office 高危漏洞（CVE-2017-11826）及Microsoft Windows SMB Server 远程代码执行漏洞（CVE-2017-11780）。这两个到底是“何方妖孽”？且来一探究竟。
　　CVE-2017-11826
　　Office 的高危漏洞（CVE-2017-11826）几乎影响微软目前支持的所有Office版本，黑客发送利用该漏洞的恶意Office文件，没有打补丁的用户点开文件就会中招，成为被控制的肉鸡。
　　据了解到，此漏洞是由 360 安全团队最早发现并向微软报告该漏洞细节。其在  9月下旬首次监测到利用 Office 0day 漏洞的真实攻击，攻击者使用针对性的钓鱼文档，诱使用户点击包含漏洞攻击程序的恶意Word文档，在受害者电脑中驻留一个以文档窃密为主要功能的远程控制木马。
　　安全专家表示，这种攻击方式与常见的Office宏病毒不同，在打开宏文档时，Office通常会发出警告，但利用该漏洞的攻击却没有任何提示，再加上文档文件历来给人们的印象就是无毒无害，人们一般难以察觉和防御，相关的0day漏洞利用也很容易传播泛滥。
　　实际上，  2017年至今，黑客针对广大用户日常必备的办公软件进行的 0day 攻击呈增长趋势。攻击者利用该漏洞诱导用户打开藏有恶意代码的 Office 文件，从而在系统上执行任意命令，达到控制用户系统的目的，甚至还可能将该漏洞应用于 APT 攻击。
　　美国五角大楼网络安全服务商、趋势科技旗下的ZDI（零日计划）项目组也把该漏洞列为本月最危险安全漏洞。
　　360首席工程师郑文彬提醒广大网民，要尽快给电脑打上微软提供的补丁，同时不要打开来路不明的 Office文档，相关单位也需要警惕此类0day 漏洞的定向攻击。
　　CVE-2017-11780
　　Microsoft Windows是美国微软公司发布的一系列操作系统。服务器信息块（SMB）是一个网络文件共享协议，它允许应用程序和终端用户从远端的文件服务器访问文件资源。此次微软修复的  Microsoft Windows SMB Server 远程代码执行漏洞（CNVD-2017-29681，对应CVE-2017-11780），远程攻击者成功利用漏洞可允许在目标系统上执行任意代码，如果利用失败将导致拒绝服务。
　　这一漏洞也被国家信息安全漏洞共享平台（CNVD）收录，CNVD对该漏洞的综合评级为“高危”。综合业内各方研判情况，该漏洞影响版本范围跨度大，一旦漏洞细节披露，将造成极为广泛的攻击威胁，或可诱发APT攻击。
　　笔者提醒用户警惕出现“WannaCry”蠕虫翻版，建议根据本文中“受影响系统版本”和“微软官方补丁编号”及时做好漏洞排查和处置工作。
　　一、漏洞影响范围
　　二、处理措施
　　微软官方发布了升级补丁修复该漏洞，CNVD建议用户尽快升级程序，打开Windows Update功能，然后点击“检查更新”按钮，根据业务情况下载安装相关安全补丁，安装完毕后重启服务器，检查系统运行情况。
　　具体系统操作流程如下：
　　安天安全研究与应急处理中心（安天CERT）也整理了不同系统版本微软官方补丁编号及参考链接，如表所示：
　　三、临时解决方案
　　鉴于部分用户存在不能及时安装补丁的情形，安天CERT也给出了可采用的临时措施：
　　以Windows 7系统的处理流程为例
　　1、关闭网络。
　　2、打开“控制面板→系统与安全→Windows防火墙”，点击左侧“启动或关闭Windows防火墙”。
　　3、选择“启用Windows防火墙”，并点击确定。
　　4、点击“高级设置”。
　　5、点击“入站规则→新建规则”，以445端口为例。
　　6、选择“端口”，点击下一步。
　　7、选择“特定本地端口”，输入445，点击下一步。
　　8、选择“阻止连接”，点击下一步。
　　9、全选“配置文件”中的选项，点击下一步。
　　10、在名称中可任意键入文字，点击完成即可。
　　11、恢复网络。
　　12、开启系统自动更新，并检测更新进行安装。
　　13、Windows7系统需要关闭Server服务才能够禁用445端口的连接。关闭操作系统的server服务：同时输入win键和R，输入services.msc，进入控制台。
　　双击Server，先停用，再选择禁用。
　　最后重启Windows7。使用netstat–an查看445端口已不存在。