阿里云首页 阿里云安全产品和技术

【漏洞公告】Windows系统 SMB/RDP远程命令执行漏洞

2017年04月14日,国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以覆盖全球70%的Windows服务器,为了确保您在阿里云上的业务安全,请您关注该信息。

漏洞编号

暂无

漏洞名称

Windows系统多个SMB\RDP远程命令执行漏洞

官方评级

高危

漏洞描述

国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以覆盖全球70%的Windows服务器,可以利用SMB、RDP服务成功入侵服务器。

漏洞利用条件和方式

通过发布的工具,执行远程代码。

漏洞影响范围

已知受影响的Windows版本包括但不限于:

  • Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8

  • Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 SP0

affected versions

漏洞检测

确定服务器是否对外开启了137、139、445、3389端口。

排查方法:在外网计算机上telnet目标地址的445端口,例如:telnet 114.114.114.114 445

更多信息,请参考安装 Telnet Client

修复措施

使用中的ECS云服务器

微软已经发出相关公告 Protecting customers and evaluating risk,强烈建议您为对使用中的ECS安装最新补丁。您可以选择使用Windows Update自动下载安装、手动下载安装、使用安骑士来安装补丁,或者在云服务器控制台一键修复此漏洞。

  • Windows Update更新补丁

    1. 选择开始>控制面板>Windows Update

    2. 单击检查更新

    3. 检查完成后单击安装更新

    4. 安装完成后,重启系统使补丁生效。

  • 使用安骑士安装补丁

  • 登录到阿里云云盾安骑士控制台

  • 选择目标服务器,单击其服务器IP/名称

  • 单击漏洞信息前往漏洞信息子页。

  • 找到名称为用于修复特权提升漏洞的辅助登录安全更新程序的漏洞,单击其操作列下的立即修复

  • 修复完成。

  • 手动下载更新补丁

EternalBlue

更新补丁:MS17-010

EmeraldThread

更新补丁:MS10-061

EternalChampion

更新补丁:CVE-2017-0146

ErraticGopher

Windows Vista系统

EsikmoRoll

更新补丁:MS14-068

EternalRomance

更新补丁:MS17-010

EducatedScholar

更新补丁:MS09-050

EternalSynergy

更新补丁:MS17-010

EclipsedWing

更新补丁:MS08-067

需要下载安装的补丁见下表:

MS17-010

CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148

MS10-061

CVE-2010-2729

  • Windows Vista安全更新程序

  • Windows Server 2003 x64 Edition安全更新程序

  • Windows Server 2008 R2 x64 Edition安全更新

  • Windows 7安全更新程序

  • Windows Server 2003 安全更新程序

  • 用于基于 x64 的系统的 Windows Vista 安全更新程序

  • 用于基于 x64 的系统的 Windows 7 安全更新程序

  • Windows Server 2008 x64 Edition 安全更新程序

  • Windows Server 2008 安全更新程序

  • Security Update for Windows Server 2008 for Itanium-based Systems

  • Security Update for Windows XP x64 Edition

  • Security Update for Windows Server 2003 for Itanium-based Systems

  • Security Update for Windows Server 2008 R2 for Itanium-based Systems

MS14-068

CVE-2014-6324

  • Windows Server 2003安全更新程序

  • Windows Server 2003 x64 Edition安全更新程序

  • Security Update for Windows Server 2003 for Itanium-based Systems

  • Windows Vista安全更新程序

  • 用于基于x64的系统的Windows Vista安全更新程序

  • Security Update for Windows Server 2008 for Itanium-based Systems

  • Windows 7 安全更新程序

  • 用于基于 x64 的系统的 Windows 7 安全更新程序

  • Security Update for Windows Server 2008 R2 for Itanium-based Systems

  • Windows 8安全更新程序

  • 用于基于 x64的系统的 Windows 8安全更新程序

  • Windows 8.1安全更新程序

  • 用于基于 x64的系统的 Windows 8.1安全更新程序

MS09-050

CVE-2009-2526、CVE-2009-2532、CVE-2009-3103

  • Security Update for Windows Vista

  • Security Update for Windows Vista for x64-based Systems

  • Security Update for Windows Server 2008

  • Security Update for Windows Server 2008 x64

  • Security Update for Windows Server 2008 for Itanium-based Systems

MS08-067

CVE-2008-4250

  • Security Update for Windows 2000

  • Security Update for Windows Server 2003 for Itanium-based Systems

  • Security Update for Windows Server 2008 x64 Edition

  • Security Update for Windows 7 Pre-Beta

  • Security Update for Windows Vista

  • Security Update for Windows XP x64 Edition

  • Security Update for Windows 7 Pre-Beta for Itanium-based Systems

  • Security Update for Windows XP

  • Security Update for Windows Server 2008 for Itanium-based Systems

  • Security Update for Windows 7 Pre-Beta x64 Edition

  • Security Update for Windows Vista for x64-based Systems

  • Security Update for Windows Server 2003

  • Security Update for Windows Server 2008

  • Security Update for Windows Server 2003 x64 Edition

说明

建议您先进行测试,再对业务服务器进行补丁更新。安装完补丁后,需要重启服务器。

  • 在云服务器控制台一键修复漏洞

    针对公网入方向配置网络访问控制策略。如果您业务上没有使用137、139、445端口,您可登录云服务器管理控制台,前往安全组页面,单击相应实例后的配置规则。在规则配置页面,单击修复Windows高危漏洞,一键规避此漏洞风险。

    注意:强烈建议您使用安全组公网入策略限制3389远程登录源IP地址,防止利用RDP服务端口入侵,降低安全风险;也建议您根据业务需求,对内网入方向配置同样的访问控制策略。

    请您务必确认137、139、445端口使用情况,根据业务需求配置访问控制。

针对新购ECS云服务器

2017年04月22日起,阿里云全网提供的Windows镜像均已安装最新补丁。

  • 在新购ECS实例时,建议您调整安全组策略,仅开通必要的协议和端口访问控制权限。

  • 如果您有其他端口的公网访问需求,您可登录云服务器管理控制台,前往安全组页面,单击相应实例后的配置规则。在规则配置页面,增加对应端口的允许规则,具体操作可参考安全组配置指南

修复验证

成功配置好安全组访问控制策略之后,您可以使用telnet客户端进行测试验证。如果未返回结果,表示您的服务器无法被外网利用攻击。

以下为端口不通的结果,表示端口无法被黑客利用来发动攻击:

相关问题

  • 什么是SMB服务?

    SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API)。SMB协议是基于TCP-NETBIOS下的,一般使用的端口是139、445。

  • 什么是RDP服务?

    远程桌面连接组件是从Windows 2000 Server开始由微软公司提供的,一般使用3389作为服务端口。当某台计算机开启了远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了,通过远程桌面功能我们可以实时的操作这台计算机;在上面安装软件,运行程序,所有操作都好像是直接在该计算机上操作一样。

    但对外开放RDP协议端口存在着安全风险。例如,遭受黑客对服务器账号的暴力破解等。一旦被破解成功,服务器将被控制,因此强烈建立您对Windows服务器进行安全加固(Windows操作系统安全加固) 。

首页 阿里云安全产品和技术 安全漏洞预警 操作系统安全漏洞 【漏洞公告】Windows系统 SMB/RDP远程命令执行漏洞