警惕出現下一個「WannaCry」，安天發布CVE-2017-11780漏洞免疫工具

近日，國家信息安全漏洞共享平台（CNVD）收錄了Microsoft WindowsSMB Server遠程代碼執行漏洞（CNVD-2017-29681，對應CVE-2017-11780）。遠程攻擊者成功利用漏洞可允許在目標系統上執行任意代碼，如果利用失敗將導致拒絕服務。CNVD對該漏洞的綜合評級為「高危」。綜合業內各方研判情況，該漏洞影響版本範圍跨度大，一旦漏洞細節披露，將造成極為廣泛的攻擊威脅，或可誘發APT攻擊。

安天提醒用戶警惕出現「WannaCry」蠕蟲翻版，建議根據本文中「受影響系統版本」和「微軟官方補丁編號」及時做好漏洞排查和處置工作。目前，安天已緊急發布了應對該漏洞的免疫工具（工具下載鏈接：http://www.antiy.com/tools.html ）。另外，安天智甲終端防禦系統及探海威脅檢測系統等產品對類似機理的漏洞均有檢測防禦安全策略。

一、受影響系統版本

二、 防護解決方案

2.1 安裝微軟官方補丁

用戶可根據系統安裝補丁編號排查是否已經安裝官方補丁。

Windows 7系統操作如下：開始→控制面板→Windows Update→查看更新歷史記錄。

Windows10系統操作如下：Windows設置→更新和安全→歷史更新記錄（如下圖）。

不同系統版本微軟官方補丁編號、參考鏈接如下表（安全更新為本次漏洞的單獨補丁，月度累積更新為補丁集合（含本次漏洞補丁））：

2.2 臨時防護步驟

2.2.1 由於相關原因不能及時安裝補丁的詳細防護步驟如下：

關閉網路，開啟系統防火牆；

利用系統防火牆高級設置阻止向445埠進行連接（該操作會影響使用445埠的服務）及網路共享；

打開網路，開啟系統自動更新，並檢測更新進行安裝；

2.2.2 Windows 7系統的處理流程舉例：

1) 關閉網路。

2) 打開「控制面板→系統與安全→Windows防火牆」，點擊左側「啟動或關閉Windows防火牆」。

3) 選擇「啟用Windows防火牆」，並點擊確定。

4) 點擊「高級設置」。

5) 點擊「入站規則→新建規則」，以445埠為例。

6) 選擇「埠」，點擊下一步。

7) 選擇「特定本地埠」，輸入445，點擊下一步。

8) 選擇「阻止連接」，點擊下一步。

9) 全選「配置文件」中的選項，點擊下一步。

10) 在名稱中可任意鍵入文字，點擊完成即可。

11) 恢復網路。

12) 開啟系統自動更新，並檢測更新進行安裝。

13) Windows 7系統需要關閉Server 

服務才能夠禁用445埠的連接。

關閉操作系統的server服務：依次點擊「開始 →運行」，輸入services.msc，進入服務管理控制台。

雙擊Server，先停用，再選擇禁用。

最後重啟Windows 7。使用netstat –an查看445埠已不存在。

註：在系統更新完成後，如果業務需要使用SMB服務，將上面設置的防火牆入站規則刪除即可。

2.3 下載安天CVE-2017-11780漏洞免疫工具

安天針對該漏洞發布的免疫工具可實現禁用系統服務、設置ipsec本地組策略等功能，提供通過阻斷SMB連接使漏洞 （CVE-2017-11780/CNVD-2017-29681）無法觸發的臨時緩解方案。

注意，請優先選擇及時更新補丁並安裝防護軟體以保證系統安全！安裝補丁後即可無需免疫處理。

響應軌跡：

2017年10月12日12:00，安天首次發布《安天應對微軟SMB漏洞（CVE-2017-11780）響應手冊》，並發布安天CVE-2017-11780漏洞免疫工具1.0.0.0版本。

*本文作者：antiylab，轉載請註明FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！