警惕出现下一个“WannaCry”，安天紧急发布CVE-2017-11780漏洞免疫工具

近日，国家信息安全漏洞共享平台（CNVD）收录了Microsoft Windows SMB Server远程代码执行漏洞（CNVD-2017-29681，对应CVE-2017-11780）。远程攻击者成功利用漏洞可允许在目标系统上执行任意代码，如果利用失败将导致拒绝服务。CNVD对该漏洞的综合评级为“高危”。综合业内各方研判情况，该漏洞影响版本范围跨度大，一旦漏洞细节披露，将造成极为广泛的攻击威胁，或可诱发APT攻击。安天提醒用户警惕出现“WannaCry”蠕虫翻版，建议根据本手册中“受影响系统版本”和“微软官方补丁编号”及时做好漏洞排查和处置工作。目前，安天已紧急发布了应对该漏洞的免疫工具（点击“阅读原文”可下载）。另外，安天智甲终端防御系统及探海威胁检测系统等产品对类似机理的漏洞均有检测防御安全策略。

一、 受影响系统版本

二、 防护解决方案

2.1 安装微软官方补丁

用户可根据系统安装补丁编号排查是否已经安装官方补丁。

Win7系统操作如下：开始→控制面板→Windows Update→查看更新历史记录。

Win10系统操作如下：Windows设置→更新和安全→历史更新记录（如下图）。

不同系统版本微软官方补丁编号、参考链接如下表（安全更新为本次漏洞的单独补丁，月度累积更新为补丁集合（含本次漏洞补丁））：

2.2 临时防护步骤

2.2.1 由于相关原因不能及时安装补丁的详细防护步骤如下：

l 关闭网络，开启系统防火墙；

l 利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）及网络共享；

l 打开网络，开启系统自动更新，并检测更新进行安装；

2.2.2 Windows 7系统的处理流程举例：

1) 关闭网络。

2) 打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙。

3) 选择启用Windows防火墙，并点击确定。

4) 点击高级设置。

5) 点击入站规则-新建规则，以445端口为例。

6) 选择端口，点击下一步。

7) 选择特定本地端口，输入445，点击下一步。

8) 选择阻止连接，点击下一步。

9) 全选配置文件中的选项，点击下一步。

10) 在名称中可任意键入文字，点击完成即可。

11) 恢复网络。

12) 开启系统自动更新，并检测更新进行安装。

13) Windows 7系统需要关闭Server服务才能够禁用445端口的连接。

关闭操作系统的server服务：依次点击“开始”、“运行”，输入services.msc，进入服务管理控制台。

双击Server，先停用，再选择禁用。

最后重启Windows 7。使用netstat –an查看445端口已不存在。

注：在系统更新完成后，如果业务需要使用SMB服务，将上面设置的防火墙入站规则删除即可。

2.3 下载安天CVE-2017-11780漏洞免疫工具

安天针对该漏洞发布的免疫工具可实现禁用系统服务、设置ipsec本地组策略等功能，提供通过阻断SMB连接使CVE-2017-11780远程执行漏洞(CNVD-2017-29681)无法触发的临时缓解方案。

注意，请优先选择及时更新补丁并安装防护软件以保证系统安全！安装补丁后即可无需免疫处理。

响应轨迹：

2017年10月12日12:00，安天首次发布《安天应对微软SMB漏洞（CVE-2017-11780）响应手册》，并发布安天CVE-2017-11780漏洞免疫工具1.0.0.0版本。