微軟告知用戶，運行Internet信息服務(IIS)的Windows服務器容易受到依賴惡意HTTP 2請求的拒絕服務(DoS)攻擊。

根據(jù)該巨頭的說法，發(fā)送特制的HTTP2請求可導致機器的CPU暫時達到100%，直到使IIS死機停止服務。

微軟在其公告中表示 HTTP2規(guī)范允許客戶端使用任意數(shù)量的SETTINGS參數(shù)指定任意數(shù)量的SETTINGS幀。在某些情況下，過多的設置會導致服務變得不穩(wěn)定，并可能導致臨時CPU使用率激增，直到達到連接超時并關閉連接。

該漏洞影響Windows 10、Windows Server和Windows Server 2016等諸多版本，本周發(fā)布的2月非安全更新通過允許IIS管理員定義請求中包含的HTTP2設置數(shù)量的閾值來解決此問題。

[[258069]]

但應注意Microsoft發(fā)布的更新默認情況下是不定義任何值的，IIS管理員手動自行執(zhí)行此操作。微軟將此漏洞報告歸功于F5 Networks的Gal Goldshtein。值得注意的是，Goldshtein 最近在nginx開源網(wǎng)絡服務器軟件中發(fā)現(xiàn)了一個跟CVE-2018-16844類似的類似漏洞。

Microsoft IIS中的漏洞缺陷可能會給使用IIS作為其公司網(wǎng)站或應用程序的企業(yè)組織帶來嚴重的安全問題。雖然Microsoft已經(jīng)開發(fā)了一個修補程序來解決此問題，IT團隊仍需要具備正確配置IIS的能力，以解決問題。微軟明確表示他們不提供預設，因此修復問題不僅僅是應用補丁，還需要有經(jīng)驗的IT人員的進一步參與。

IT團隊應該使用網(wǎng)絡流量分析來查看進入其IIS服務器的連接情況，以確定是否有異常連接到他們的Web服務器。通常這些連接是長期處于連接狀態(tài)，或者源連接不斷重復在服務器上觸發(fā)。通過查看對應指標，IT團隊可以識別DDoS的來源。通過適當?shù)呐渲每梢越鉀Q該類型的安全問題。網(wǎng)絡流量分析可以幫助IT團隊更準確的了解可能存在配置問題的位置，以便在出現(xiàn)DDoS攻擊等重大問題之前更新系統(tǒng)合理配置，也為應急處突做好必要的準備。

網(wǎng)絡安全為人民，網(wǎng)絡安全靠人民，網(wǎng)絡安全你我他的責任，感謝抽空閱讀本文，希望能為你在網(wǎng)絡信息安全工作中拓展思路!

Windows服務器操作系統(tǒng)在我們生產(chǎn)環(huán)境中，使用率一直是據(jù)于高位的，對于Windows存在安全漏洞，我們應當在日常維護過程中，時刻注意安全動向以及安全補丁程序更新情況，以便更好的維護自己單位的Windows相關的IT資產(chǎn)。在此，希望見到此文的朋友，能夠核查自己的服務器是否在影響之列，及時做好補丁更新并合理配置IIS服務器，同時，如果你有朋友在維護Windows操作系統(tǒng)的服務器，也請轉發(fā)給他，提醒他做好防范!