1.漏洞描述
1.1漏洞描述
2017年5月12日起,在國(guó)內(nèi)外網(wǎng)絡(luò)中發(fā)現(xiàn)爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲惡意代碼,這是通過改造之前泄露的NSA黑客武器庫中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件。
目前發(fā)現(xiàn)的蠕蟲會(huì)掃描開放445文件共享端口的Windows機(jī)器,無需用戶任何操作,只要開機(jī)上網(wǎng),不法分子就能在電腦和服務(wù)器中植入執(zhí)行勒索程序、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。
此蠕蟲目前在沒有對(duì)445端口進(jìn)行嚴(yán)格訪問控制的教育網(wǎng)、企業(yè)內(nèi)網(wǎng)及業(yè)務(wù)外網(wǎng)大量傳播,呈現(xiàn)爆發(fā)的態(tài)勢(shì),受感染系統(tǒng)會(huì)被勒索高額金錢,不能按時(shí)支付贖金的系統(tǒng)會(huì)被銷毀數(shù)據(jù)造成嚴(yán)重?fù)p失。該蠕蟲攻擊事件已 經(jīng)造成非常嚴(yán)重的現(xiàn)實(shí)危害,各類規(guī)模的網(wǎng)絡(luò)也已經(jīng)面臨此類威脅。
1.2影響范圍
涉及開放445 SMB服務(wù)端口且沒有及時(shí)安裝安全補(bǔ)丁的客戶端和服務(wù)器系統(tǒng)都將可能面臨此威脅。
1.3建議處置辦法
- 對(duì)于Win7及以上版本的操作系統(tǒng),微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞,請(qǐng)立即安裝此補(bǔ)丁。
-
補(bǔ)丁地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010
請(qǐng)管理員先自行關(guān)閉135、137、138、139、445端口,在關(guān)閉前請(qǐng)自行判斷關(guān)閉后是否會(huì)對(duì)原有業(yè)務(wù)帶來影響。
下面介紹在系統(tǒng)中如何手動(dòng)設(shè)置策略關(guān)閉端口的方法
1.開始菜單->運(yùn)行,輸入gpedit.msc回車。打開組策略編輯器
2.在組策略編輯器中,計(jì)算機(jī)配置->windows設(shè)置->安全設(shè)置->ip安全策略 下,在編輯器右邊空白處鼠標(biāo)右鍵單擊,選擇“創(chuàng)建IP安全策略”
3.下一步->名稱填寫“封端口”,下一步->下一步->勾選編輯屬性,并點(diǎn)完成
4.去掉“使用添加向?qū)А钡墓催x后,點(diǎn)擊“添加”
5.在新彈出的窗口,選擇“IP篩選列表”選項(xiàng)卡,點(diǎn)擊“添加”
6.在新彈出的窗口中填寫名稱,去掉“使用添加向?qū)А鼻懊娴墓?,單擊“添加?/span>
7. 在新彈出的窗口中,“協(xié)議”選項(xiàng)卡下,選擇協(xié)議和設(shè)置到達(dá)端口信息,并點(diǎn)確定。
8.重復(fù)第7個(gè)步驟,添加TCP端口135、139、445。添加UDP端口137、138。添加全部完成后,確定。
9.選中剛添加完成的“端口過濾”規(guī)則,然后選擇“篩選器操作”選項(xiàng)卡。
10.去掉“使用添加向?qū)А惫催x,單擊“添加”按鈕
11.選擇“阻止”
12.選擇“常規(guī)”選項(xiàng)卡,給這個(gè)篩選器起名“阻止”,然后點(diǎn)擊“確定”。
13.確認(rèn)“IP篩選列表”選項(xiàng)卡下的“端口過濾”被選中。確認(rèn)“篩選器操作”選項(xiàng)卡下的“阻止”被選中。然后點(diǎn)擊“關(guān)閉”。
14.確認(rèn)安全規(guī)則配置正確。點(diǎn)擊確定。
15.在“組策略編輯器”上,右鍵“分配”,將規(guī)則啟用。