2017年4月14日,國外(wài)黑客組織Shadow Brokers發出了NSA方程式組織的機密文檔,包含了多個Windows 遠程漏洞利用工(gōng)具,該工(gōng)具包可以可以覆蓋全球70%的Windows服務器,爲了确保您在阿裏雲上的業務安全,請您關注,具體(tǐ)漏洞詳情如下(xià):
漏洞名稱:
Windows系統多個SMBRDP遠程命令執行漏洞官方評級: 高危 漏洞描述: 國外(wài)黑客組織Shadow Brokers發出了NSA方程式組織的機密文檔,包含了多個Windows 遠程漏洞利用工(gōng)具,該工(gōng)具包可以可以覆蓋全球70%的Windows服務器,可以利用SMB、RDP服務成功入侵服務器。
漏洞利用條件和方式:
可以通過發布的工(gōng)具遠程代碼執行成功利用該漏洞。
漏洞影響範圍:
已知(zhī)受影響的Windows版本包括但不限于:
Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0;
漏洞檢測:
确定服務器對外(wài)開(kāi)啓了137、139、445、3389端口,排查方式如下(xià):外(wài)網計算機上telnet 目标地址445,例如:telnet 114.114.114.114 445
Telnet命令安裝:
1:打開(kāi)“開(kāi)始”---”運行” ,或者直接鍵盤 windows鍵+R 調出運行,輸入 appwiz.cpl (打開(kāi)添加删除程序管理窗口) ;
2:出現的(程序和功能)菜單啦,點擊“打開(kāi)或關閉windows功能,同樣随後出現的“打開(kāi)或關閉windows功能”列表裏面,找到“telnet客戶端”把前面的勾勾上,然後點擊确定。
漏洞修複建議(或緩解措施):
| 工(gōng)具名稱 | 解決措施 |
|---|---|
| EternalBlue | 更新補丁MS17-010 |
| EmeraldThread | 更新補丁MS10-061 |
| EternalChampion | 更新補丁CVE-2017-0146&CVE-2017-0147 |
| ErraticGopher | Windows Vista系統 |
| EsikmoRoll | 更新補丁MS14-068 |
| EternalRomance | 更新補丁MS17-010 |
| EducatedScholar | 更新補丁MS09-050 |
| EternalSynergy | 更新補丁MS17-010 |
| EclipsedWing | 更新補丁MS08-067 |
什麽是SMB服務?
SMB(Server Message Block)通信協議是微軟(Microsoft)和英特爾(Intel)在1987年制定的協議,主要是作爲Microsoft網絡的通訊協議。SMB 是在會話(huà)層(session layer)和表示層(presentation layer)以及小(xiǎo)部分(fēn)應用層(application layer)的協議。SMB使用了NetBIOS的應用程序接口 (Application Program Interface,簡稱API)。SMB協議是基于TCP-NETBIOS下(xià)的,一(yī)般端口使用爲139,445。
什麽是RDP服務?
遠程桌面連接組件是從Windows 2000 Server開(kāi)始由微軟公司提供的,一(yī)般使用3389作爲服務端口,當某台計算機開(kāi)啓了遠程桌面連接功能後我(wǒ)們就可以在網絡的另一(yī)端控制這台計算機了,通過遠程桌面功能我(wǒ)們可以實時的操作這台計算機,在上面安裝軟件,運行程序,所有的一(yī)切都好像是直接在該計算機上操作一(yī)樣。但對外(wài)開(kāi)放(fàng)RDP協議端口存在着安全風險,例如:遭受黑客對服務器賬号的暴力破解等,一(yī)旦破解成功,将控制服務器,因此強烈建立您對windows服務器進行加固 。
下(xià)一(yī)篇 [漏洞公告]“永恒之藍(lán)”應急響應方案
上一(yī)篇: [漏洞公告] 如何修複memcached未授權訪問漏洞