全部产品
阿里云办公

【漏洞公告】Windows系统 SMB/RDP远程命令执行漏洞

更新时间:2018-02-22 09:56:31

2017年4月14日,国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以覆盖全球70%的Windows服务器,为了确保您在阿里云上的业务安全,请您关注该信息。

漏洞详情见下文。


漏洞编号

暂无

漏洞名称

Windows系统多个SMB\RDP远程命令执行漏洞

官方评级

高危

漏洞描述

国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以覆盖全球70%的Windows服务器,可以利用SMB、RDP服务成功入侵服务器。

漏洞利用条件和方式

通过发布的工具,执行远程代码。

漏洞影响范围

已知受影响的Windows版本包括但不限于:

Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

affected versions

漏洞检测

确定服务器对外开启了137、139、445、3389端口。排查方式如下:在外网计算机上telnet目标地址的445端口,例如:telnet 114.114.114.114 445

更多信息,请参考 Telnet客户端安装步骤

修复措施

使用中的ECS云服务器

微软已经发出相关公告 Protecting customers and evaluating risk,强烈建议您为在使用中的ECS安装最新补丁。您可以选择使用Windows Update自动下载安装,手动下载安装,使用安骑士来安装补丁,或者在云服务器控制台一键修复此漏洞。

  • Windows Update更新补丁

    1. 选择开始>控制面板>Windows Update
    2. 单击检查更新
    3. 检查完成后单击安装更新
    4. 安装完成后,重启系统使补丁生效。

针对新购ECS云服务器

2017年4月22日起,阿里云全网提供的Windows镜像均已安装最新补丁。

  • 在新购ECS实例时,建议您调整安全组策略,仅开通必要的协议和端口访问控制权限。

  • 如果您有其他端口的公网访问需求,您可登录云服务器管理控制台,前往安全组页面,单击相应实例后的配置规则。在规则配置页面,增加对应端口的允许规则,具体操作可参考安全组配置指南

修复验证

成功配置好安全组访问控制策略之后,您可以使用telnet客户端进行测试验证。如果未返回结果,表示您的服务器无法被外网利用攻击。

以下为端口不通的结果,表示端口无法被黑客利用来发动攻击:

re

背景介绍

什么是SMB服务?

SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API)。SMB协议是基于TCP-NETBIOS下的,一般使用的端口是139,445。

什么是RDP服务?

远程桌面连接组件是从Windows 2000 Server开始由微软公司提供的,一般使用3389作为服务端口。当某台计算机开启了远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了,通过远程桌面功能我们可以实时的操作这台计算机;在上面安装软件,运行程序,所有操作都好像是直接在该计算机上操作一样。

但对外开放RDP协议端口存在着安全风险。例如,遭受黑客对服务器账号的暴力破解等。一旦被破解成功,服务器将被控制,因此强烈建立您对Windows服务器进行安全加固 。

情报来源