微軟告知用戶，運行Internet信息服務(wù)(IIS)的Windows服務(wù)器容易受到依賴惡意HTTP 2請求的拒絕服務(wù)(DoS)攻擊。

根據(jù)該巨頭的說法，發(fā)送特制的HTTP2請求可導(dǎo)致機器的CPU暫時達到100%，直到使IIS死機停止服務(wù)。

微軟在其公告中表示 HTTP2規(guī)范允許客戶端使用任意數(shù)量的SETTINGS參數(shù)指定任意數(shù)量的SETTINGS幀。在某些情況下，過多的設(shè)置會導(dǎo)致服務(wù)變得不穩(wěn)定，并可能導(dǎo)致臨時CPU使用率激增，直到達到連接超時并關(guān)閉連接。

該漏洞影響Windows 10、Windows Server和Windows Server 2016等諸多版本，本周發(fā)布的2月非安全更新通過允許IIS管理員定義請求中包含的HTTP2設(shè)置數(shù)量的閾值來解決此問題。

但應(yīng)注意Microsoft發(fā)布的更新默認情況下是不定義任何值的，IIS管理員手動自行執(zhí)行此操作。微軟將此漏洞報告歸功于F5 Networks的Gal Goldshtein。值得注意的是，Goldshtein 最近在nginx開源網(wǎng)絡(luò)服務(wù)器軟件中發(fā)現(xiàn)了一個跟CVE-2018-16844類似的類似漏洞。

Microsoft IIS中的漏洞缺陷可能會給使用IIS作為其公司網(wǎng)站或應(yīng)用程序的企業(yè)組織帶來嚴重的安全問題。雖然Microsoft已經(jīng)開發(fā)了一個修補程序來解決此問題，IT團隊仍需要具備正確配置IIS的能力，以解決問題。微軟明確表示他們不提供預(yù)設(shè)，因此修復(fù)問題不僅僅是應(yīng)用補丁，還需要有經(jīng)驗的IT人員的進一步參與。

IT團隊應(yīng)該使用網(wǎng)絡(luò)流量分析來查看進入其IIS服務(wù)器的連接情況，以確定是否有異常連接到他們的Web服務(wù)器。通常這些連接是長期處于連接狀態(tài)，或者源連接不斷重復(fù)在服務(wù)器上觸發(fā)。通過查看對應(yīng)指標，IT團隊可以識別DDoS的來源。通過適當?shù)呐渲每梢越鉀Q該類型的安全問題。網(wǎng)絡(luò)流量分析可以幫助IT團隊更準確的了解可能存在配置問題的位置，以便在出現(xiàn)DDoS攻擊等重大問題之前更新系統(tǒng)合理配置，也為應(yīng)急處突做好必要的準備。

網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民，網(wǎng)絡(luò)安全你我他的責任，感謝抽空閱讀本文，希望能為你在網(wǎng)絡(luò)信息安全工作中拓展思路!

Windows服務(wù)器操作系統(tǒng)在我們生產(chǎn)環(huán)境中，使用率一直是據(jù)于高位的，對于Windows存在安全漏洞，我們應(yīng)當在日常維護過程中，時刻注意安全動向以及安全補丁程序更新情況，以便更好的維護自己單位的Windows相關(guān)的IT資產(chǎn)。在此，希望見到此文的朋友，能夠核查自己的服務(wù)器是否在影響之列，及時做好補丁更新并合理配置IIS服務(wù)器，同時，如果你有朋友在維護Windows操作系統(tǒng)的服務(wù)器，也請轉(zhuǎn)發(fā)給他，提醒他做好防范!