雷鋒網(wǎng)宅客頻道消息，北京時間 10 月 11 日凌晨，微軟發(fā)布了新一輪安適更新，修復了多個安適漏洞，其中包孕一個 Office 高危漏洞(CVE-2017-11826)及 Microsoft Windows SMB Server 遠程代碼執(zhí)行漏洞(CVE-2017-11780)。這兩個到底是“何方妖孽”?且來一探究竟。

CVE-2017-11826

據(jù)新華社報道， Office 的高危漏洞(CVE-2017-11826)幾乎影響微軟目前支持的所有Office版本，黑客發(fā)送利用該漏洞的惡意Office文件，沒有打補丁的用戶點開文件就會中招，成為被控制的肉雞。

雷鋒網(wǎng)了解到，此漏洞是由 360 安適團隊最早發(fā)現(xiàn)并向微軟陳訴該漏洞細節(jié)。其在 9 月下旬首次監(jiān)測到利用 Office 0day 漏洞的真實攻擊，攻擊者使用針對性的釣魚文檔，誘使用戶點擊包羅漏洞攻擊程序的惡意Word文檔，在受害者電腦中駐留一個以文檔竊密為主要功能的遠程控制木馬。

安適專家體現(xiàn)，這種攻擊方式與常見的 Office 宏病毒差別，在打開宏文檔時，Office 通常會發(fā)出警告，但利用該漏洞的攻擊卻沒有任何提示，再加上文檔文件歷來給人們的印象就是無毒無害，，人們一般難以察覺和防御，相關的 0day 漏洞利用也很容易傳播泛濫。

實際上， 2017 年至今，黑客針對廣大用戶日常必備的辦公軟件進行的 0day 攻擊呈增長趨勢。攻擊者利用該漏洞誘導用戶打開藏有惡意代碼的 Office 文件，從而在系統(tǒng)上執(zhí)行任意命令，達到控制用戶系統(tǒng)的目的，甚至還可能將該漏洞應用于 APT 攻擊。

美國五角大樓網(wǎng)絡安適辦事商、趨勢科技旗下的ZDI(零日計劃)項目組也把該漏洞列為本月最危險安適漏洞。

360 首席工程師鄭文彬提醒廣大網(wǎng)民，要盡快給電腦打上微軟提供的補丁，同時不要打開來路不明的 Office 文檔，相關單位也需要警惕此類 0day 漏洞的定向攻擊。

CVE-2017-11780

Microsoft Windows是美國微軟公司發(fā)布的一系列操作系統(tǒng)。辦事器信息塊(SMB)是一個網(wǎng)絡文件共享協(xié)議，它允許應用程序和終端用戶從遠端的文件辦事器拜候文件資源。此次微軟修復的 Microsoft Windows SMB Server 遠程代碼執(zhí)行漏洞(CNVD-2017-29681，對應CVE-2017-11780)，遠程攻擊者成功利用漏洞可允許在目標系統(tǒng)上執(zhí)行任意代碼，如果利用失敗將導致拒絕辦事。

這一漏洞也被國家信息安適漏洞共享平臺(CNVD)收錄，CNVD對該漏洞的綜合評級為“高?！?。綜合業(yè)內(nèi)各方研判情況，該漏洞影響版本范圍跨度大，一旦漏洞細節(jié)披露，將造成極為廣泛的攻擊威脅，或可誘發(fā)APT攻擊。

雷鋒網(wǎng)提醒用戶警惕出現(xiàn)“WannaCry”蠕蟲翻版，建議按照本文中“受影響系統(tǒng)版本”和“微軟官方補丁編號”及時做好漏洞排查和處置工作。

一、漏洞影響范圍

二、處理辦法 

微軟官方發(fā)布了升級補丁修復該漏洞，CNVD建議用戶盡快升級程序，打開Windows Update功能，然后點擊“檢查更新”按鈕，按照業(yè)務情況下載安置相關安適補丁，安置完畢后重啟辦事器，檢查系統(tǒng)運行情況。

具體系統(tǒng)操作流程如下：

安天安適研究與應急處理中心(安天CERT)也整理了差別系統(tǒng)版本微軟官方補丁編號及參考鏈接，如表所示：

三、臨時解決方案

鑒于部分用戶存在不能及時安置補丁的情形，安天CERT也給出了可采用的臨時辦法：

以Windows7 系統(tǒng)的處理流程為例

1、關閉網(wǎng)絡。

2、打開“控制面板→系統(tǒng)與安適→Windows防火墻”，點擊左側(cè)“啟動或關閉Windows防火墻”。

3、選擇“啟用Windows防火墻”，并點擊確定。

4、點擊“高級設置”。

5、點擊“入站規(guī)則→新建規(guī)則”，以 445 端口為例。