近期境外黑客組織The ShadowBrokers公布了一批Windows高危漏洞及批量利用工具,利用該工具可致Windows機(jī)器被執(zhí)行任意命令,引發(fā)包括主機(jī)藍(lán)屏、被入侵刪除數(shù)據(jù)等一系列嚴(yán)重后果。
微軟官方已發(fā)布了漏洞補(bǔ)丁,但大量客戶尚未修補(bǔ),風(fēng)險(xiǎn)極大,同時(shí)安全求助量也急劇增大。為了更好的提升云主機(jī)的安全性,請(qǐng)您務(wù)必留意以下信息:
 

針對(duì)使用中的ECS服務(wù)器:

1、如果您業(yè)務(wù)上沒(méi)有使用TCP[42、135、137、139、445],UDP[135、137、138、139]端口,請(qǐng)您盡快登陸【管理控制臺(tái)】-【云服務(wù)器ECS】-【安全組】,點(diǎn)擊【批量修復(fù)Windows SMB漏洞】按鈕,來(lái)關(guān)閉相關(guān)的高危端口。

2、如果您業(yè)務(wù)上有使用SMB協(xié)議或以上端口,您可登陸【管理控制臺(tái)】-【云服務(wù)器ECS】-【安全組】,點(diǎn)擊【忽略修復(fù)】按鈕忽略修復(fù)。考慮到風(fēng)險(xiǎn),我們強(qiáng)烈建議您在忽略修復(fù)前,安裝更新Windows最新補(bǔ)丁并重啟系統(tǒng)使補(bǔ)丁生效。 

為保障云上客戶的整體數(shù)據(jù)安全和服務(wù)可靠,在4月24日未執(zhí)行修復(fù)或忽略修復(fù)的用戶,阿里云將參考行業(yè)通用方案,在平臺(tái)層面調(diào)整默認(rèn)的安全組策略,屏蔽公網(wǎng)對(duì)云服務(wù)器TCP[42、135、137、139、445],UDP[135、137、138、139]端口的訪問(wèn)請(qǐng)求,這些端口受本次漏洞影響,極易導(dǎo)致服務(wù)器被入侵。如果您沒(méi)有使用以上端口,此操作不會(huì)對(duì)您產(chǎn)生任何影響。

針對(duì)新購(gòu)ECS服務(wù)器:

1、目前阿里云全網(wǎng)提供的windows鏡像均已安裝最新補(bǔ)丁。

2、在新購(gòu)主機(jī)的時(shí)候,調(diào)整安全組策略,僅開(kāi)通必要的協(xié)議和端口訪問(wèn)權(quán)限。

如果您有其他端口的公網(wǎng)訪問(wèn)需求,您可以通過(guò)【管理控制臺(tái)】-【云服務(wù)器ECS】-【安全組】-【配置規(guī)則】自助增加對(duì)應(yīng)端口的允許規(guī)則,具體操作您可參考:https://help.aliyun.com/document_detail/25471.html。

【漏洞公告】高危:Windows系統(tǒng) SMB/RDP遠(yuǎn)程命令執(zhí)行漏洞

漏洞編號(hào):

暫無(wú)

漏洞名稱(chēng):

Windows系統(tǒng)多個(gè)SMB\RDP遠(yuǎn)程命令執(zhí)行漏洞官方評(píng)級(jí):

高危

漏洞描述:

國(guó)外黑客組織Shadow Brokers發(fā)出了NSA方程式組織的機(jī)密文檔,包含了多個(gè)Windows 遠(yuǎn)程漏洞利用工具,該工具包可以可以覆蓋全球70%的Windows服務(wù)器,可以利用SMB、RDP服務(wù)成功入侵服務(wù)器。

漏洞利用條件和方式:

可以通過(guò)發(fā)布的工具遠(yuǎn)程代碼執(zhí)行成功利用該漏洞。

漏洞影響范圍:

已知受影響的Windows版本包括但不限于:

Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

漏洞檢測(cè):

確定服務(wù)器對(duì)外開(kāi)啟了137、139、445、3389端口,排查方式如下:外網(wǎng)計(jì)算機(jī)上telnet 目標(biāo)地址445,例如:telnet 114.114.114.114 445

Telnet客戶端安裝步驟

漏洞修復(fù)建議(或緩解措施):

• 微軟已經(jīng)發(fā)出通告 ,強(qiáng)烈建議您直接使用 Windows Update 更新最新補(bǔ)丁或手工下載以下補(bǔ)丁安裝;

• 目前阿里云控制臺(tái)發(fā)布了此漏洞的一鍵解決工具,針對(duì)公網(wǎng)入方向配置網(wǎng)絡(luò)訪問(wèn)控制策略,如果您業(yè)務(wù)上沒(méi)有使用137、139、445端口,您可登錄【ECS控制臺(tái)】-【安全組管理】-【規(guī)則配置】使用工具一鍵規(guī)避此漏洞風(fēng)險(xiǎn);

• 同時(shí)建議您使用安全組公網(wǎng)入策略限制3389遠(yuǎn)程登錄源IP地址,防止利用RDP服務(wù)端口入侵,降低安全風(fēng)險(xiǎn)。

注:請(qǐng)您務(wù)必確認(rèn)137、139、445端口使用情況,根據(jù)業(yè)務(wù)需求配置訪問(wèn)控制。

什么是SMB服務(wù)?

SMB(Server Message Block)通信協(xié)議是微軟(Microsoft)和英特爾(Intel)在1987年制定的協(xié)議,主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。SMB 是在會(huì)話層(session layer)和表示層(presentation layer)以及小部分應(yīng)用層(application layer)的協(xié)議。SMB使用了NetBIOS的應(yīng)用程序接口 (Application Program Interface,簡(jiǎn)稱(chēng)API)。SMB協(xié)議是基于TCP-NETBIOS下的,一般端口使用為139,445。

什么是RDP服務(wù)?

遠(yuǎn)程桌面連接組件是從Windows 2000 Server開(kāi)始由微軟公司提供的,一般使用3389作為服務(wù)端口,當(dāng)某臺(tái)計(jì)算機(jī)開(kāi)啟了遠(yuǎn)程桌面連接功能后我們就可以在網(wǎng)絡(luò)的另一端控制這臺(tái)計(jì)算機(jī)了,通過(guò)遠(yuǎn)程桌面功能我們可以實(shí)時(shí)的操作這臺(tái)計(jì)算機(jī),在上面安裝軟件,運(yùn)行程序,所有的一切都好像是直接在該計(jì)算機(jī)上操作一樣。但對(duì)外開(kāi)放RDP協(xié)議端口存在著安全風(fēng)險(xiǎn),例如:遭受黑客對(duì)服務(wù)器賬號(hào)的暴力破解等,一旦破解成功,將控制服務(wù)器,因此強(qiáng)烈建立您對(duì)windows服務(wù)器進(jìn)行加固 。

情報(bào)來(lái)源:

• https://zhuanlan.zhihu.com/p/26375989?utm_medium=social&utm_source=wechat_timeline&from=timeline&isappinstalled=0
• http://mp.weixin.qq.com/s/yPExtMfVbpNo-5S2Ymvz-w
• https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0