【高危漏洞预警】Windows系统 SMB/RDP远程命令执行

2017-04-18

  2017年4月14日,国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,为了确保您在阿里上的业务安全,请您关注,具体漏洞详情如下:
                                   

漏洞编号:
暂无
漏洞名称:
Windows系统多个SMB\RDP远程命令执行漏洞官方评级: 高危 漏洞描述: 国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,可以利用SMB、RDP服务成功入侵服务
漏洞利用条件和方式:
可以通过发布的工具远程代码执行成功利用该漏洞。
漏洞影响范围:
已知受影响的Windows版本包括但不限于:
Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

漏洞检测:
确定服务器对外开启了137、139、445、3389端口,排查方式如下:
外网计算机上telnet 目标地址445,例如:telnet 114.114.114.114 445,Telnet客户端安装步骤
漏洞修复建议(或缓解措施):

  • 微软已经发出通告 ,强烈建议您更新最新补丁;


工具名称解决措施
“EternalBlue”Addressed by MS17-010
“EmeraldThread”Addressed by MS10-061
“EternalChampion”Addressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher”Addressed prior to the release of Windows Vista
“EsikmoRoll”Addressed by MS14-068
“EternalRomance”Addressed by MS17-010
“EducatedScholar”Addressed by MS09-050
“EternalSynergy”Addressed by MS17-010
“EclipsedWing”Addressed by MS08-067

  • 目前阿里云控制台也发布了此漏洞的一键规避工具,如果您业务上没有使用[font=&amp]137、139、445端口[font=&amp],您可登录【ECS控制台】-【安全组管理】-【规则配置】使用工具一键规避此漏洞风险;



  • 使用安全组公网入策略限制3389远程登录源IP地址



什么是SMB服务?
SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API)。SMB协议是基于TCP-NETBIOS下的,一般端口使用为139,445。


什么是RDP服务?
远程桌面连接组件是从Windows 2000 Server开始由微软公司提供的,一般使用3389作为服务端口,当某台计算机开启了远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了,通过远程桌面功能我们可以实时的操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。
但对外开放RDP协议端口存在着安全风险,例如:遭受黑客对服务器账号的暴力破解等,一旦破解成功,将控制服务器,因此强烈建立您对服务器进行加固


情报来源:

  • https://zhuanlan.zhihu.com/p/26375989?utm_medium=social&utm_source=wechat_timeline&from=timeline&isappinstalled=0

  • http://mp.weixin.qq.com/s/yPExtMfVbpNo-5S2Ymvz-w

  • https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0


行业新闻
阅读原文
分享
写评论...