• 阿里云河南授权服务中心--[ 阿里云金牌合作伙伴 ]
  • 阿里云河南授权服务中心电话 :0371-56982772

【漏洞公告】高危:Windows系统 SMB/RDP远程命令执行漏洞
发布时间:2017-05-15 09:57

2017年4月14日,国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,为了确保您在阿里云上的业务安全,请您关注,具体漏洞详情如下:


漏洞编号:

暂无

漏洞名称:

Windows系统多个SMB\RDP远程命令执行漏洞

官方评级:

高危

漏洞描述:

国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,可以利用SMB、RDP服务成功入侵服务器。

漏洞利用条件和方式:

可以通过发布的工具远程代码执行成功利用该漏洞。

漏洞影响范围:

已知受影响的Windows版本包括但不限于:

Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

漏洞检测:

确定服务器对外开启了137、139、445、3389端口,排查方式如下:外网计算机上telnet 目标地址445,例如:telnet 114.114.114.114 445

Telnet客户端安装步骤

漏洞修复建议(或缓解措施):

1.针对使用中的ECS云服务器

  • 微软已经发出通告 ,强烈建议您直接使用 Windows Update 功能为在使用中的ECS更新最新补丁或手工下载以下补丁安装;

1)Windows Update更新补丁方式

点击“开始”->“控制面板”->“Windows Update” ,点击“检查更新”

检查更新:

wu1

安装更新:

wu2

检查安装结果:

点击“查看更新历史记录”,检查安装的补丁:

重启生效

安装完成后,补丁安装状态为“挂起”,重启后生效:

2)使用安骑士安装补丁

登录到阿里云云盾控制台,进入到安骑士控制台界面,点击ECS的补丁管理功能“立即修复”:wu5

3)手动下载更新补丁方式

打开补丁链接,下载与操作系统相对应的补丁,然后手动双击安装。

工具名称 解决措施
EternalBlue 更新补丁MS17-010
EmeraldThread 更新补丁MS10-061
EternalChampion 更新补丁CVE-2017-0146&CVE-2017-0147
ErraticGopher Windows Vista系统
EsikmoRoll 更新补丁MS14-068
EternalRomance 更新补丁MS17-010
EducatedScholar 更新补丁MS09-050
EternalSynergy 更新补丁MS17-010
EclipsedWing 更新补丁MS08-067

补丁链接

1.微软公告MS17-010

https://technet.microsoft.com/zh-cn/library/security/MS17-010

对应漏洞编号:

CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148

补丁下载链接:

1)微软补丁编号:KB4012212

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

2)微软补丁编号:KB4012213

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012213

3)微软补丁编号:KB4012214

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012214

4)微软补丁编号:KB4012215

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215

5)微软补丁编号:KB4012216

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216

6)微软补丁编号:KB4012217

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012217

7)微软补丁编号:KB4012598

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

8)微软补丁编号:KB4013198

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

9)微软补丁编号:KB4013429

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

10)微软补丁编号:KB4012606

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

2.微软公告MS10-061

https://technet.microsoft.com/zh-cn/library/security/MS10-061

对应漏洞编号:

CVE-2010-2729

补丁下载链接:

1)微软补丁编号:KB2347290

http://www.microsoft.com/downloads/details.aspx?FamilyID=93FABA6B-0A85-4ACC-B527-A012BBF56B13&displayLang=zh-cn

http://www.microsoft.com/downloads/details.aspx?FamilyID=028977FD-0F39-42D4-9FEE-0D90A2931CFD&displayLang=zh-cn

http://www.microsoft.com/downloads/details.aspx?FamilyID=073B3305-4A81-4EF8-B6AA-E53B31A936B4&displayLang=zh-cn

http://www.microsoft.com/downloads/details.aspx?FamilyID=11E20088-1BE2-4166-9C97-234B7E9F1C4F&displayLang=zh-cn

http://www.microsoft.com/downloads/details.aspx?FamilyID=34619E9E-1F00-40E4-BE6F-5BBF5E3C801B&displayLang=zh-cn

http://www.microsoft.com/downloads/details.aspx?FamilyID=3D79680B-C071-462F-9CEA-551FBD42EDF0&displayLang=zh-cn

http://www.microsoft.com/downloads/details.aspx?FamilyID=C68B9337-883D-4E98-BA0A-90B5CAD46184&displayLang=zh-cn

http://www.microsoft.com/downloads/details.aspx?FamilyID=DBB747A5-658D-44CF-BD49-425D1700157F&displayLang=zh-cn

http://www.microsoft.com/downloads/details.aspx?FamilyID=E08D4F49-5A13-4E1D-B0A7-27B314C2EDB5&displayLang=zh-cn

http://www.microsoft.com/downloads/details.aspx?FamilyID=E2E788DE-8400-4BF6-B96B-A915154AA20A&displayLang=zh-cn

http://www.microsoft.com/downloads/en/details.aspx?familyid=098537D5-BF6E-4E04-AD33-1CDE697E062F&displaylang=en

http://www.microsoft.com/downloads/en/details.aspx?familyid=9F7F3737-056D-44BD-B644-51093B5B501B&displaylang=en

http://www.microsoft.com/downloads/en/details.aspx?familyid=CA35A520-C4DA-41BB-ABCC-D5BC534FF19A&displaylang=en

http://www.microsoft.com/downloads/en/details.aspx?familyid=D8C635F8-8978-44BF-B457-E07368F08EF4&displaylang=en

3.微软公告MS14-068

https://technet.microsoft.com/zh-cn/library/security/MS14-068

对应漏洞编号:

CVE-2014-6324

补丁下载链接:

1)微软补丁编号:KB3011780

http://www.microsoft.com/zh-CN/download/details.aspx?id=44960

http://www.microsoft.com/zh-CN/download/details.aspx?id=44970

http://www.microsoft.com/en-us/download/details.aspx?id=44984

http://www.microsoft.com/zh-CN/download/details.aspx?id=44967

http://www.microsoft.com/zh-CN/download/details.aspx?id=44971

http://www.microsoft.com/en-us/download/details.aspx?id=44983

http://www.microsoft.com/zh-CN/download/details.aspx?id=44978

http://www.microsoft.com/zh-CN/download/details.aspx?id=44981

http://www.microsoft.com/en-us/download/details.aspx?id=44973

http://www.microsoft.com/zh-CN/download/details.aspx?id=44982

http://www.microsoft.com/zh-CN/download/details.aspx?id=44979

http://www.microsoft.com/zh-CN/download/details.aspx?id=44976

http://www.microsoft.com/zh-CN/download/details.aspx?id=44965

4.微软公告MS09-050

https://technet.microsoft.com/zh-cn/library/security/MS09-050

对应漏洞编号:

CVE-2009-2526、CVE-2009-2532、CVE-2009-3103

补丁下载链接:

1)微软补丁编号:KB975517

https://www.microsoft.com/en-us/download/details.aspx?id=2578

https://www.microsoft.com/en-us/download/details.aspx?id=12010

https://www.microsoft.com/en-us/download/details.aspx?id=3486

https://www.microsoft.com/en-us/download/details.aspx?id=3195

https://www.microsoft.com/en-us/download/details.aspx?id=11858

5.微软公告MS08-067

https://technet.microsoft.com/zh-cn/library/security/MS08-067

对应漏洞编号:

CVE-2008-4250

补丁下载链接:

1)微软补丁编号:KB958644

https://www.microsoft.com/en-us/download/details.aspx?id=11141

https://www.microsoft.com/en-us/download/details.aspx?id=16713

https://www.microsoft.com/en-us/download/details.aspx?id=18905

https://www.microsoft.com/en-us/download/details.aspx?id=19478

https://www.microsoft.com/en-us/download/details.aspx?id=20113

https://www.microsoft.com/en-us/download/details.aspx?id=21663

https://www.microsoft.com/en-us/download/details.aspx?id=21974

https://www.microsoft.com/en-us/download/details.aspx?id=3205

https://www.microsoft.com/en-us/download/details.aspx?id=3404

https://www.microsoft.com/en-us/download/details.aspx?id=530

https://www.microsoft.com/en-us/download/details.aspx?id=5873

https://www.microsoft.com/en-us/download/details.aspx?id=6185

https://www.microsoft.com/en-us/download/details.aspx?id=6203

https://www.microsoft.com/en-us/download/details.aspx?id=7605

注:建议先进行测试后,再对业务服务器进行补丁更新,安装完补丁后,需要重启服务器。

  • 目前阿里云控制台发布了此漏洞的一键解决工具,针对公网入方向配置网络访问控制策略,如果您业务上没有使用137、139、445端口,您可登录【ECS控制台】-【安全组管理】-【规则配置】使用工具一键规避此漏洞风险;

  • 强烈建议您使用安全组公网入策略限制3389远程登录源IP地址,防止利用RDP服务端口入侵,降低安全风险。

  • 同时我们建议您根据业务需求,对内网入方向配置同样的访问控制策略。

注:请您务必确认137、139、445端口使用情况,根据业务需求配置访问控制。

2.针对新购ECS云服务器

  • 目前(2017年4月22日起)阿里云全网提供的Windows镜像均已安装最新补丁;
  • 在新购主机的时候,调整安全组策略,仅开通必要的协议和端口访问控制权限;
  • 如果您有其他端口的公网访问需求,您可以通过【管理控制台】-【云服务器ECS】-【安全组】-【配置规则】自助增加对应端口的允许规则,具体操作您可参考安全组配置指南

修复验证方式

如果成功配置好安全组访问控制策略之后,您可以使用telnet客户端进行测试验证,如果未返回结果,表示您的服务器无法被外网利用攻击。

以下为无法为端口不通的结果,无法被黑客利用攻击:re

什么是SMB服务?

SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API)。SMB协议是基于TCP-NETBIOS下的,一般端口使用为139,445。

什么是RDP服务?

远程桌面连接组件是从Windows 2000 Server开始由微软公司提供的,一般使用3389作为服务端口,当某台计算机开启了远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了,通过远程桌面功能我们可以实时的操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。但对外开放RDP协议端口存在着安全风险,例如:遭受黑客对服务器账号的暴力破解等,一旦破解成功,将控制服务器,因此强烈建立您对Windows服务器进行安全加固 。

情报来源:

相关资讯

售前咨询:

0371-56982935