2017年4月14日,国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以覆盖全球70%的Windows服务器,为了确保您在阿里云上的业务安全,请您关注该信息。
漏洞详情见下文。
漏洞编号
暂无
漏洞名称
Windows系统多个SMB\RDP远程命令执行漏洞
官方评级
高危
漏洞描述
国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以覆盖全球70%的Windows服务器,可以利用SMB、RDP服务成功入侵服务器。
漏洞利用条件和方式
通过发布的工具,执行远程代码。
漏洞影响范围
已知受影响的Windows版本包括但不限于:
Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
漏洞检测
确定服务器对外开启了137、139、445、3389端口。排查方式如下:在外网计算机上telnet目标地址的445端口,例如:telnet 114.114.114.114 445
更多信息,请参考 Telnet客户端安装步骤。
修复措施
使用中的ECS云服务器
微软已经发出相关公告 Protecting customers and evaluating risk,强烈建议您为在使用中的ECS安装最新补丁。您可以选择使用Windows Update自动下载安装,手动下载安装,使用安骑士来安装补丁,或者在云服务器控制台一键修复此漏洞。
Windows Update更新补丁
- 选择开始>控制面板>Windows Update。
- 单击检查更新。
- 检查完成后单击安装更新。
- 安装完成后,重启系统使补丁生效。
使用安骑士安装补丁
- 登录到阿里云云盾安骑士控制台。
- 选择目标服务器,单击其服务器IP/名称。
- 单击漏洞信息前往漏洞信息子页。
- 找到名称为用于修复特权提升漏洞的辅助登录安全更新程序的漏洞,单击其操作列下的立即修复。
- 修复完成。
手动下载更新补丁
打开补丁链接,下载与操作系统相对应的补丁,然后手动双击安装。
工具名称 解决措施 EternalBlue 更新补丁MS17-010 EmeraldThread 更新补丁MS10-061 EternalChampion 更新补丁CVE-2017-0146&CVE-2017-0147 ErraticGopher Windows Vista系统 EsikmoRoll 更新补丁MS14-068 EternalRomance 更新补丁MS17-010 EducatedScholar 更新补丁MS09-050 EternalSynergy 更新补丁MS17-010 EclipsedWing 更新补丁MS08-067 需要下载安装的补丁见下表:
注意:建议您先进行测试,再对业务服务器进行补丁更新。安装完补丁后,需要重启服务器。
在云服务器控制台一键修复漏洞
针对公网入方向配置网络访问控制策略。如果您业务上没有使用137、139、445端口,您可登录云服务器管理控制台,前往安全组页面,单击相应实例后的配置规则。在规则配置页面,单击修复Windows高危漏洞,一键规避此漏洞风险。
注意:强烈建议您使用安全组公网入策略限制3389远程登录源IP地址,防止利用RDP服务端口入侵,降低安全风险;也建议您根据业务需求,对内网入方向配置同样的访问控制策略。
请您务必确认137、139、445端口使用情况,根据业务需求配置访问控制。
针对新购ECS云服务器
2017年4月22日起,阿里云全网提供的Windows镜像均已安装最新补丁。
在新购ECS实例时,建议您调整安全组策略,仅开通必要的协议和端口访问控制权限。
如果您有其他端口的公网访问需求,您可登录云服务器管理控制台,前往安全组页面,单击相应实例后的配置规则。在规则配置页面,增加对应端口的允许规则,具体操作可参考安全组配置指南。
修复验证
成功配置好安全组访问控制策略之后,您可以使用telnet客户端进行测试验证。如果未返回结果,表示您的服务器无法被外网利用攻击。
以下为端口不通的结果,表示端口无法被黑客利用来发动攻击:
背景介绍
什么是SMB服务?
SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API)。SMB协议是基于TCP-NETBIOS下的,一般使用的端口是139,445。
什么是RDP服务?
远程桌面连接组件是从Windows 2000 Server开始由微软公司提供的,一般使用3389作为服务端口。当某台计算机开启了远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了,通过远程桌面功能我们可以实时的操作这台计算机;在上面安装软件,运行程序,所有操作都好像是直接在该计算机上操作一样。
但对外开放RDP协议端口存在着安全风险。例如,遭受黑客对服务器账号的暴力破解等。一旦被破解成功,服务器将被控制,因此强烈建立您对Windows服务器进行安全加固 。