近期境外黑客組織The ShadowBrokers公布了一批Windows高危漏洞及批量利用工具,利用該工具可致Windows機器被執(zhí)行任意命令,引發(fā)包括主機藍屏、被入侵刪除數(shù)據(jù)等一系列嚴重后果。
微軟官方已發(fā)布了漏洞補丁,但大量客戶尚未修補,風(fēng)險極大,同時安全求助量也急劇增大。為了更好的提升云主機的安全性,請您務(wù)必留意以下信息:
 

針對使用中的ECS服務(wù)器:

1、如果您業(yè)務(wù)上沒有使用TCP[42、135、137、139、445],UDP[135、137、138、139]端口,請您盡快登陸【管理控制臺】-【云服務(wù)器ECS】-【安全組】,點擊【批量修復(fù)Windows SMB漏洞】按鈕,來關(guān)閉相關(guān)的高危端口。

2、如果您業(yè)務(wù)上有使用SMB協(xié)議或以上端口,您可登陸【管理控制臺】-【云服務(wù)器ECS】-【安全組】,點擊【忽略修復(fù)】按鈕忽略修復(fù)。考慮到風(fēng)險,我們強烈建議您在忽略修復(fù)前,安裝更新Windows最新補丁并重啟系統(tǒng)使補丁生效。 

為保障云上客戶的整體數(shù)據(jù)安全和服務(wù)可靠,在4月24日未執(zhí)行修復(fù)或忽略修復(fù)的用戶,阿里云將參考行業(yè)通用方案,在平臺層面調(diào)整默認的安全組策略,屏蔽公網(wǎng)對云服務(wù)器TCP[42、135、137、139、445],UDP[135、137、138、139]端口的訪問請求,這些端口受本次漏洞影響,極易導(dǎo)致服務(wù)器被入侵。如果您沒有使用以上端口,此操作不會對您產(chǎn)生任何影響。

針對新購ECS服務(wù)器:

1、目前阿里云全網(wǎng)提供的windows鏡像均已安裝最新補丁。

2、在新購主機的時候,調(diào)整安全組策略,僅開通必要的協(xié)議和端口訪問權(quán)限。

如果您有其他端口的公網(wǎng)訪問需求,您可以通過【管理控制臺】-【云服務(wù)器ECS】-【安全組】-【配置規(guī)則】自助增加對應(yīng)端口的允許規(guī)則,具體操作您可參考:https://help.aliyun.com/document_detail/25471.html。

【漏洞公告】高危:Windows系統(tǒng) SMB/RDP遠程命令執(zhí)行漏洞

漏洞編號:

暫無

漏洞名稱:

Windows系統(tǒng)多個SMB\RDP遠程命令執(zhí)行漏洞官方評級:

高危

漏洞描述:

國外黑客組織Shadow Brokers發(fā)出了NSA方程式組織的機密文檔,包含了多個Windows 遠程漏洞利用工具,該工具包可以可以覆蓋全球70%的Windows服務(wù)器,可以利用SMB、RDP服務(wù)成功入侵服務(wù)器。

漏洞利用條件和方式:

可以通過發(fā)布的工具遠程代碼執(zhí)行成功利用該漏洞。

漏洞影響范圍:

已知受影響的Windows版本包括但不限于:

Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

漏洞檢測:

確定服務(wù)器對外開啟了137、139、445、3389端口,排查方式如下:外網(wǎng)計算機上telnet 目標地址445,例如:telnet 114.114.114.114 445

Telnet客戶端安裝步驟

漏洞修復(fù)建議(或緩解措施):

• 微軟已經(jīng)發(fā)出通告 ,強烈建議您直接使用 Windows Update 更新最新補丁或手工下載以下補丁安裝;

• 目前阿里云控制臺發(fā)布了此漏洞的一鍵解決工具,針對公網(wǎng)入方向配置網(wǎng)絡(luò)訪問控制策略,如果您業(yè)務(wù)上沒有使用137、139、445端口,您可登錄【ECS控制臺】-【安全組管理】-【規(guī)則配置】使用工具一鍵規(guī)避此漏洞風(fēng)險;

• 同時建議您使用安全組公網(wǎng)入策略限制3389遠程登錄源IP地址,防止利用RDP服務(wù)端口入侵,降低安全風(fēng)險。

注:請您務(wù)必確認137、139、445端口使用情況,根據(jù)業(yè)務(wù)需求配置訪問控制。

什么是SMB服務(wù)?

SMB(Server Message Block)通信協(xié)議是微軟(Microsoft)和英特爾(Intel)在1987年制定的協(xié)議,主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。SMB 是在會話層(session layer)和表示層(presentation layer)以及小部分應(yīng)用層(application layer)的協(xié)議。SMB使用了NetBIOS的應(yīng)用程序接口 (Application Program Interface,簡稱API)。SMB協(xié)議是基于TCP-NETBIOS下的,一般端口使用為139,445。

什么是RDP服務(wù)?

遠程桌面連接組件是從Windows 2000 Server開始由微軟公司提供的,一般使用3389作為服務(wù)端口,當(dāng)某臺計算機開啟了遠程桌面連接功能后我們就可以在網(wǎng)絡(luò)的另一端控制這臺計算機了,通過遠程桌面功能我們可以實時的操作這臺計算機,在上面安裝軟件,運行程序,所有的一切都好像是直接在該計算機上操作一樣。但對外開放RDP協(xié)議端口存在著安全風(fēng)險,例如:遭受黑客對服務(wù)器賬號的暴力破解等,一旦破解成功,將控制服務(wù)器,因此強烈建立您對windows服務(wù)器進行加固 。

情報來源:

• https://zhuanlan.zhihu.com/p/26375989?utm_medium=social&utm_source=wechat_timeline&from=timeline&isappinstalled=0
• http://mp.weixin.qq.com/s/yPExtMfVbpNo-5S2Ymvz-w
• https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0