2017年4月14日,國外黑客組織Shadow Brokers發(fā)出了NSA方程式組織的機(jī)密文檔,包含了多個Windows 遠(yuǎn)程漏洞利用工具,該工具包可以可以覆蓋全球70%的Windows服務(wù)器,為了確保您在阿里云上的業(yè)務(wù)安全,請您關(guān)注,具體漏洞詳情如下:
漏洞名稱:
Windows系統(tǒng)多個SMBRDP遠(yuǎn)程命令執(zhí)行漏洞官方評級: 高危 漏洞描述: 國外黑客組織Shadow Brokers發(fā)出了NSA方程式組織的機(jī)密文檔,包含了多個Windows 遠(yuǎn)程漏洞利用工具,該工具包可以可以覆蓋全球70%的Windows服務(wù)器,可以利用SMB、RDP服務(wù)成功入侵服務(wù)器。
漏洞利用條件和方式:
可以通過發(fā)布的工具遠(yuǎn)程代碼執(zhí)行成功利用該漏洞。
漏洞影響范圍:
已知受影響的Windows版本包括但不限于:
Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0;
漏洞檢測:
確定服務(wù)器對外開啟了137、139、445、3389端口,排查方式如下:外網(wǎng)計算機(jī)上telnet 目標(biāo)地址445,例如:telnet 114.114.114.114 445
Telnet命令安裝:
1:打開“開始”---”運(yùn)行” ,或者直接鍵盤 windows鍵+R 調(diào)出運(yùn)行,輸入 appwiz.cpl (打開添加刪除程序管理窗口) ;
2:出現(xiàn)的(程序和功能)菜單啦,點(diǎn)擊“打開或關(guān)閉windows功能,同樣隨后出現(xiàn)的“打開或關(guān)閉windows功能”列表里面,找到“telnet客戶端”把前面的勾勾上,然后點(diǎn)擊確定。
漏洞修復(fù)建議(或緩解措施):
- 微軟已經(jīng)發(fā)出通告 ,強(qiáng)烈建議您直接使用 Windows Update 更新最新補(bǔ)丁或手工下載以下補(bǔ)丁安裝;
工具名稱 | 解決措施 |
---|---|
EternalBlue | 更新補(bǔ)丁MS17-010 |
EmeraldThread | 更新補(bǔ)丁MS10-061 |
EternalChampion | 更新補(bǔ)丁CVE-2017-0146&CVE-2017-0147 |
ErraticGopher | Windows Vista系統(tǒng) |
EsikmoRoll | 更新補(bǔ)丁MS14-068 |
EternalRomance | 更新補(bǔ)丁MS17-010 |
EducatedScholar | 更新補(bǔ)丁MS09-050 |
EternalSynergy | 更新補(bǔ)丁MS17-010 |
EclipsedWing | 更新補(bǔ)丁MS08-067 |
什么是SMB服務(wù)?
SMB(Server Message Block)通信協(xié)議是微軟(Microsoft)和英特爾(Intel)在1987年制定的協(xié)議,主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。SMB 是在會話層(session layer)和表示層(presentation layer)以及小部分應(yīng)用層(application layer)的協(xié)議。SMB使用了NetBIOS的應(yīng)用程序接口 (Application Program Interface,簡稱API)。SMB協(xié)議是基于TCP-NETBIOS下的,一般端口使用為139,445。
什么是RDP服務(wù)?
遠(yuǎn)程桌面連接組件是從Windows 2000 Server開始由微軟公司提供的,一般使用3389作為服務(wù)端口,當(dāng)某臺計算機(jī)開啟了遠(yuǎn)程桌面連接功能后我們就可以在網(wǎng)絡(luò)的另一端控制這臺計算機(jī)了,通過遠(yuǎn)程桌面功能我們可以實時的操作這臺計算機(jī),在上面安裝軟件,運(yùn)行程序,所有的一切都好像是直接在該計算機(jī)上操作一樣。但對外開放RDP協(xié)議端口存在著安全風(fēng)險,例如:遭受黑客對服務(wù)器賬號的暴力破解等,一旦破解成功,將控制服務(wù)器,因此強(qiáng)烈建立您對windows服務(wù)器進(jìn)行加固 。