近期境外黑客組織The ShadowBrokers公布了一批Windows高危漏洞及批量利用工具,利用該工具可致Windows機(jī)器被執(zhí)行任意命令,引發(fā)包括主機(jī)藍(lán)屏、被入侵刪除數(shù)據(jù)等一系列嚴(yán)重后果���。
微軟官方已發(fā)布了漏洞補(bǔ)丁,但大量客戶(hù)尚未修補(bǔ),風(fēng)險(xiǎn)極大,同時(shí)安全求助量也急劇增大���。為了更好的提升云主機(jī)的安全性,請(qǐng)您務(wù)必留意以下信息:
針對(duì)使用中的ECS服務(wù)器:
1、如果您業(yè)務(wù)上沒(méi)有使用TCP[42、135、137、139���、445],UDP[135���、137���、138、139]端口,請(qǐng)您盡快登陸【管理控制臺(tái)】-【云服務(wù)器ECS】-【安全組】,點(diǎn)擊【批量修復(fù)Windows SMB漏洞】按鈕,來(lái)關(guān)閉相關(guān)的高危端口。
2���、如果您業(yè)務(wù)上有使用SMB協(xié)議或以上端口,您可登陸【管理控制臺(tái)】-【云服務(wù)器ECS】-【安全組】,點(diǎn)擊【忽略修復(fù)】按鈕忽略修復(fù)������?紤]到風(fēng)險(xiǎn),我們強(qiáng)烈建議您在忽略修復(fù)前,安裝更新Windows最新補(bǔ)丁并重啟系統(tǒng)使補(bǔ)丁生效���。
為保障云上客戶(hù)的整體數(shù)據(jù)安全和服務(wù)可靠,在4月24日未執(zhí)行修復(fù)或忽略修復(fù)的用戶(hù),阿里云將參考行業(yè)通用方案,在平臺(tái)層面調(diào)整默認(rèn)的安全組策略,屏蔽公網(wǎng)對(duì)云服務(wù)器TCP[42���、135���、137���、139���、445],UDP[135、137���、138���、139]端口的訪問(wèn)請(qǐng)求,這些端口受本次漏洞影響,極易導(dǎo)致服務(wù)器被入侵���。如果您沒(méi)有使用以上端口,此操作不會(huì)對(duì)您產(chǎn)生任何影響���。
針對(duì)新購(gòu)ECS服務(wù)器:
1、目前阿里云全網(wǎng)提供的windows鏡像均已安裝最新補(bǔ)丁���。
2、在新購(gòu)主機(jī)的時(shí)候,調(diào)整安全組策略,僅開(kāi)通必要的協(xié)議和端口訪問(wèn)權(quán)限���。
如果您有其他端口的公網(wǎng)訪問(wèn)需求,您可以通過(guò)【管理控制臺(tái)】-【云服務(wù)器ECS】-【安全組】-【配置規(guī)則】自助增加對(duì)應(yīng)端口的允許規(guī)則,具體操作您可參考:https://help.aliyun.com/document_detail/25471.html。
【漏洞公告】高危:Windows系統(tǒng) SMB/RDP遠(yuǎn)程命令執(zhí)行漏洞
漏洞編號(hào):
暫無(wú)
漏洞名稱(chēng):
Windows系統(tǒng)多個(gè)SMB\RDP遠(yuǎn)程命令執(zhí)行漏洞官方評(píng)級(jí):
高危
漏洞描述:
國(guó)外黑客組織Shadow Brokers發(fā)出了NSA方程式組織的機(jī)密文檔,包含了多個(gè)Windows 遠(yuǎn)程漏洞利用工具,該工具包可以可以覆蓋全球70%的Windows服務(wù)器,可以利用SMB���、RDP服務(wù)成功入侵服務(wù)器���。
漏洞利用條件和方式:
可以通過(guò)發(fā)布的工具遠(yuǎn)程代碼執(zhí)行成功利用該漏洞���。
漏洞影響范圍:
已知受影響的Windows版本包括但不限于:
Windows NT,Windows 2000���、Windows XP���、Windows 2003���、Windows Vista���、Windows 7���、Windows 8,Windows 2008���、Windows 2008 R2、Windows Server 2012 SP0���。
漏洞檢測(cè):
確定服務(wù)器對(duì)外開(kāi)啟了137���、139、445���、3389端口,排查方式如下:外網(wǎng)計(jì)算機(jī)上telnet 目標(biāo)地址445,例如:telnet 114.114.114.114 445
Telnet客戶(hù)端安裝步驟
漏洞修復(fù)建議(或緩解措施):
- 微軟已經(jīng)發(fā)出通告 ,強(qiáng)烈建議您直接使用 Windows Update 更新最新補(bǔ)丁或手工下載以下補(bǔ)丁安裝;
-
目前阿里云控制臺(tái)發(fā)布了此漏洞的一鍵解決工具,針對(duì)公網(wǎng)入方向配置網(wǎng)絡(luò)訪問(wèn)控制策略,如果您業(yè)務(wù)上沒(méi)有使用137、139���、445端口,您可登錄【ECS控制臺(tái)】-【安全組管理】-【規(guī)則配置】使用工具一鍵規(guī)避此漏洞風(fēng)險(xiǎn);
-
同時(shí)建議您使用安全組公網(wǎng)入策略限制3389遠(yuǎn)程登錄源IP地址,防止利用RDP服務(wù)端口入侵,降低安全風(fēng)險(xiǎn)���。
注:請(qǐng)您務(wù)必確認(rèn)137���、139���、445端口使用情況,根據(jù)業(yè)務(wù)需求配置訪問(wèn)控制。
什么是SMB服務(wù)?
SMB(Server Message Block)通信協(xié)議是微軟(Microsoft)和英特爾(Intel)在1987年制定的協(xié)議,主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議���。SMB 是在會(huì)話(huà)層(session layer)和表示層(presentation layer)以及小部分應(yīng)用層(application layer)的協(xié)議。SMB使用了NetBIOS的應(yīng)用程序接口 (Application Program Interface,簡(jiǎn)稱(chēng)API)���。SMB協(xié)議是基于TCP-NETBIOS下的,一般端口使用為139,445���。
什么是RDP服務(wù)?
遠(yuǎn)程桌面連接組件是從Windows 2000 Server開(kāi)始由微軟公司提供的,一般使用3389作為服務(wù)端口,當(dāng)某臺(tái)計(jì)算機(jī)開(kāi)啟了遠(yuǎn)程桌面連接功能后我們就可以在網(wǎng)絡(luò)的另一端控制這臺(tái)計(jì)算機(jī)了,通過(guò)遠(yuǎn)程桌面功能我們可以實(shí)時(shí)的操作這臺(tái)計(jì)算機(jī),在上面安裝軟件,運(yùn)行程序,所有的一切都好像是直接在該計(jì)算機(jī)上操作一樣���。但對(duì)外開(kāi)放RDP協(xié)議端口存在著安全風(fēng)險(xiǎn),例如:遭受黑客對(duì)服務(wù)器賬號(hào)的暴力破解等,一旦破解成功,將控制服務(wù)器,因此強(qiáng)烈建立您對(duì)windows服務(wù)器進(jìn)行加固 ���。
情報(bào)來(lái)源:
