[고리스크 취약점 경고] Windows 운영 체제에서 SMB/RDP 원격 명령 실행 취약점

해외 해커 조직인 'Shadow Brokers'가 2017년 4월 14일에 전 세계 Windows 서버의 70%를 차지할 수 있는 다중 Windows 원격 공격 도구를 포함하는 NSA formula의 기밀 문서를 공개했습니다.Alibaba Cloud에서 비즈니스 보안을 유지하려면 다음과 같은 취약점 세부사항에 주의하십시오.

1.취약점 범위:

영향을 받는 Windows 버전은 다음을 포함하되 이에 국한되지 않습니다.
Windows NT, Windows 2000, Windows XP, Windows 2003, Windows Vista, Windows 7, Windows 8, Windows 2008, Windows 2008 R2, Windows Server 2012 SP0;

2.취약점 탐지:

이번에 노출된 도구는 SMB 서비스와 RDP 서비스를 활용해 원격으로 침입합니다.사용자는 포트 137, 139, 445 및 3389가 활성화되었는지 확인해야 합니다.탐지 방법:
엑스트라넷 컴퓨터에서 대상 주소 445 텔넷(예: telnet [IP] 445)

3.완화 조치

(1) Microsoft는 공지를 통해 최신 패치로 업데이트할 것을 적극 권장했습니다.자세한 내용은 아래 링크를 참조하십시오.
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

(2) 현재 Alibaba Cloud 콘솔도 이런 취약점에 대한 원키 우회 도구를 발표했습니다.비즈니스에 137, 139, 445 포트를 사용하지 않으면 ECS Console - Security Group Management - Rule Configuration에 로그인해 이러한 리스크를 우회하기 위한 도구를 사용할 수 있습니다.

(3) 보안 그룹의 공공 네트워크 진입 정책을 사용해 3389 원격 로그인 Source IP 주소를 제한합니다.

이번 사건의 진행 상황을 계속 주시하고 새로운 소식을 알려드리겠습니다.자세한 내용은 링크(https://www.alibabacloud.com/forum/read-888)를 참조하십시오.Alibaba Cloud에 보내주신 성원에 감사드립니다!