安全通告（2017年8月）

本期安全公告发布2017年8月的病毒威胁、系统漏洞和国内外安全动态等。请用户及时更新杀毒软件病毒库并且访问各厂商站点获取并安装各漏洞的补丁或升级程序。

  关于重点防范Windows Search服务远程代码执行漏洞威胁的安全公告

8月，在微软公司发布的月度例行安全更新中，国家信息安全漏洞共享平台（CNVD）收录了Windows Search服务存在的一处远程代码执行漏洞（CNVD-2017-20509，对应CVE-2017-8620）。根据分析，该漏洞潜在的利用方法有可能与此前Wanancry勒索病毒攻击原理类似，一旦披露利用代码，极有可能诱发大规模的攻击。

1、  漏洞简介

Windows搜索服务（WSS）是windows的一项默认启用的基本服务。允许用户在多个Windows服务和客户端之间进行搜索。

  Windows搜索处理内存中的对象时，存在远程执行代码漏洞，成功利用此漏洞的攻击者可以控制受影响的系统。虽然漏洞与SMB协议本身无关，但攻击者可SMB目标作为攻击媒介，因此该漏洞面临着与Wannacry类似的大规模利用风险。

  CNVD对该漏洞的技术评级为“高危”。

2、  漏洞影响范围

漏洞影响微软公司多款Windows产品，包括个人桌面和服务器操作系统，列表如下 ：

Microsoft Windows 10 Version 1607 for 32-bit Systems

Microsoft Windows 10 Version 1607 for x64-based Systems

Microsoft Windows 10 for 32-bit Systems

Microsoft Windows 10 for x64-based Systems

Microsoft Windows 10 version 1511 for 32-bit Systems

Microsoft Windows 10 version 1511 for x64-based Systems

Microsoft Windows 10 version 1703 for 32-bit Systems

Microsoft Windows 10 version 1703 for x64-based Systems

Microsoft Windows 7 for 32-bit Systems SP1

Microsoft Windows 7 for x64-based Systems SP1

Microsoft Windows 8.1 for 32-bit Systems

Microsoft Windows 8.1 for x64-based Systems

Microsoft Windows RT 8.1

Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1

Microsoft Windows Server 2008 R2 for x64-based Systems SP1

Microsoft Windows Server 2008 for 32-bit Systems SP2

Microsoft Windows Server 2008 for Itanium-based Systems SP2

Microsoft Windows Server 2008 for x64-based Systems SP2

Microsoft Windows Server 2012

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2016

3、漏洞修复建议

建议Windows用户安装补丁更新，如果未能及时部署补丁更新，建议在禁用Windows Search服务。

附：参考链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8620

http://www.cnvd.org.cn/flaw/show/CNVD-2017-20509

  关于Windows SMBLoris漏洞情况的通报

    远程攻击者利用该漏洞可对目标Windows服务器实施DOS攻击，导致服务器内存资源耗尽从而拒绝服务。漏洞情况如下：

1、  漏洞简介

Microsoft Windows是美国微软（Microsoft）公司发布的一系列操作系统。SMB(Server Message Block)是其中的一个服务器协议组件。微软公司于Windows2000引入该协议，并在之后版本对该协议有重大的更改与完善。

Windows 2000之后的版本中存在SMBLoris漏洞（CNNVD-201708-064）。该漏洞是由于攻击者通过向开放445、139端口的目标Windows系统发送特殊构造的SMB报文请求内存分配，从而达到大量消耗服务器内存的目的，最终致使服务器拒绝服务。

2、漏洞危害

该漏洞危害严重。攻击者通过不断消耗服务器内存，致使恶意占用系统中所有物理内存，并导致CPU峰值达到100%，系统崩溃。并且由于系统内存耗尽，操作系统无法记录日志。

该漏洞危害范围大。该漏洞影响Window 2000以后的所有版本。

3、修复措施

请受影响用户及时检查，如受漏洞影响，可采用以下缓解措施：

禁用SMBV1协议，阻止从Internet到SMBv1的访问。根据漏洞机理，用户可限制从单个ip地址到SMB端口的连接来缓解攻击。用户也可关闭共享服务或开启445和139端口白名单访问来缓解攻击。