微軟告知用戶(hù)，運(yùn)行Internet信息服務(wù)(IIS)的Windows服務(wù)器容易受到依賴(lài)惡意HTTP 2請(qǐng)求的拒絕服務(wù)(DoS)攻擊。

根據(jù)該巨頭的說(shuō)法，發(fā)送特制的HTTP2請(qǐng)求可導(dǎo)致機(jī)器的CPU暫時(shí)達(dá)到100%，直到使IIS死機(jī)停止服務(wù)。

微軟在其公告中表示 HTTP2規(guī)范允許客戶(hù)端使用任意數(shù)量的SETTINGS參數(shù)指定任意數(shù)量的SETTINGS幀。在某些情況下，過(guò)多的設(shè)置會(huì)導(dǎo)致服務(wù)變得不穩(wěn)定，并可能導(dǎo)致臨時(shí)CPU使用率激增，直到達(dá)到連接超時(shí)并關(guān)閉連接。

該漏洞影響Windows 10、Windows Server和Windows Server 2016等諸多版本，本周發(fā)布的2月非安全更新通過(guò)允許IIS管理員定義請(qǐng)求中包含的HTTP2設(shè)置數(shù)量的閾值來(lái)解決此問(wèn)題。

[[258069]]

但應(yīng)注意Microsoft發(fā)布的更新默認(rèn)情況下是不定義任何值的，IIS管理員手動(dòng)自行執(zhí)行此操作。微軟將此漏洞報(bào)告歸功于F5 Networks的Gal Goldshtein。值得注意的是，Goldshtein 最近在nginx開(kāi)源網(wǎng)絡(luò)服務(wù)器軟件中發(fā)現(xiàn)了一個(gè)跟CVE-2018-16844類(lèi)似的類(lèi)似漏洞。

Microsoft IIS中的漏洞缺陷可能會(huì)給使用IIS作為其公司網(wǎng)站或應(yīng)用程序的企業(yè)組織帶來(lái)嚴(yán)重的安全問(wèn)題。雖然Microsoft已經(jīng)開(kāi)發(fā)了一個(gè)修補(bǔ)程序來(lái)解決此問(wèn)題，IT團(tuán)隊(duì)仍需要具備正確配置IIS的能力，以解決問(wèn)題。微軟明確表示他們不提供預(yù)設(shè)，因此修復(fù)問(wèn)題不僅僅是應(yīng)用補(bǔ)丁，還需要有經(jīng)驗(yàn)的IT人員的進(jìn)一步參與。

IT團(tuán)隊(duì)?wèi)?yīng)該使用網(wǎng)絡(luò)流量分析來(lái)查看進(jìn)入其IIS服務(wù)器的連接情況，以確定是否有異常連接到他們的Web服務(wù)器。通常這些連接是長(zhǎng)期處于連接狀態(tài)，或者源連接不斷重復(fù)在服務(wù)器上觸發(fā)。通過(guò)查看對(duì)應(yīng)指標(biāo)，IT團(tuán)隊(duì)可以識(shí)別DDoS的來(lái)源。通過(guò)適當(dāng)?shù)呐渲每梢越鉀Q該類(lèi)型的安全問(wèn)題。網(wǎng)絡(luò)流量分析可以幫助IT團(tuán)隊(duì)更準(zhǔn)確的了解可能存在配置問(wèn)題的位置，以便在出現(xiàn)DDoS攻擊等重大問(wèn)題之前更新系統(tǒng)合理配置，也為應(yīng)急處突做好必要的準(zhǔn)備。

網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民，網(wǎng)絡(luò)安全你我他的責(zé)任，感謝抽空閱讀本文，希望能為你在網(wǎng)絡(luò)信息安全工作中拓展思路!

Windows服務(wù)器操作系統(tǒng)在我們生產(chǎn)環(huán)境中，使用率一直是據(jù)于高位的，對(duì)于Windows存在安全漏洞，我們應(yīng)當(dāng)在日常維護(hù)過(guò)程中，時(shí)刻注意安全動(dòng)向以及安全補(bǔ)丁程序更新情況，以便更好的維護(hù)自己?jiǎn)挝坏腤indows相關(guān)的IT資產(chǎn)。在此，希望見(jiàn)到此文的朋友，能夠核查自己的服務(wù)器是否在影響之列，及時(shí)做好補(bǔ)丁更新并合理配置IIS服務(wù)器，同時(shí)，如果你有朋友在維護(hù)Windows操作系統(tǒng)的服務(wù)器，也請(qǐng)轉(zhuǎn)發(fā)給他，提醒他做好防范!