当前位置:万网互联首页 > 帮助中心 > 阅读:

Windows系统 SMB\RDP远程漏洞风险通知及修复指引

Windows系统 SMB\RDP远程漏洞风险通知及修复指引

 
分享到:
 
发布时间:2017-4-22 13:57:21
 

近期境外黑客组织The ShadowBrokers公布了一批Windows高危漏洞及批量利用工具,利用该工具可致Windows机器被执行任意命令,引发包括主机蓝屏、被入侵删除数据等一系列严重后果。
微软官方已发布了漏洞补丁,但大量客户尚未修补,风险极大,同时安全求助量也急剧增大。为了更好的提升云主机的安全性,请您务必留意以下信息:
 

针对使用中的ECS服务器:

1、如果您业务上没有使用TCP[42、135、137、139、445],UDP[135、137、138、139]端口,请您尽快登陆【管理控制台】-【云服务器ECS】-【安全组】,点击【批量修复Windows SMB漏洞】按钮,来关闭相关的高危端口。

2、如果您业务上有使用SMB协议或以上端口,您可登陆【管理控制台】-【云服务器ECS】-【安全组】,点击【忽略修复】按钮忽略修复。考虑到风险,我们强烈建议您在忽略修复前,安装更新Windows最新补丁并重启系统使补丁生效。 

 

为保障云上客户的整体数据安全和服务可靠,在4月24日未执行修复或忽略修复的用户,阿里云将参考行业通用方案,在平台层面调整默认的安全组策略,屏蔽公网对云服务器TCP[42、135、137、139、445],UDP[135、137、138、139]端口的访问请求,这些端口受本次漏洞影响,极易导致服务器被入侵。如果您没有使用以上端口,此操作不会对您产生任何影响。

 

针对新购ECS服务器:

1、目前阿里云全网提供的windows镜像均已安装最新补丁。

2、在新购主机的时候,调整安全组策略,仅开通必要的协议和端口访问权限。

 

如果您有其他端口的公网访问需求,您可以通过【管理控制台】-【云服务器ECS】-【安全组】-【配置规则】自助增加对应端口的允许规则,具体操作您可参考:https://help.aliyun.com/document_detail/25471.html

 

 

【漏洞公告】高危:Windows系统 SMB/RDP远程命令执行漏洞

漏洞编号:

暂无

漏洞名称:

Windows系统多个SMB\RDP远程命令执行漏洞官方评级:

高危

漏洞描述:

国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,可以利用SMB、RDP服务成功入侵服务器。

漏洞利用条件和方式:

可以通过发布的工具远程代码执行成功利用该漏洞。

漏洞影响范围:

已知受影响的Windows版本包括但不限于:

Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。影响

漏洞检测:

确定服务器对外开启了137、139、445、3389端口,排查方式如下:外网计算机上telnet 目标地址445,例如:telnet 114.114.114.114 445

Telnet客户端安装步骤

漏洞修复建议(或缓解措施):

  • 微软已经发出通告 ,强烈建议您直接使用 Windows Update 更新最新补丁或手工下载以下补丁安装;

工具名称 解决措施
EternalBlue 更新补丁MS17-010
EmeraldThread 更新补丁MS10-061
EternalChampion 更新补丁CVE-2017-0146&CVE-2017-0147
ErraticGopher Windows Vista系统
EsikmoRoll 更新补丁MS14-068
EternalRomance 更新补丁MS17-010
EducatedScholar 更新补丁MS09-050
EternalSynergy 更新补丁MS17-010
EclipsedWing 更新补丁MS08-067

  • 目前阿里云控制台发布了此漏洞的一键解决工具,针对公网入方向配置网络访问控制策略,如果您业务上没有使用137、139、445端口,您可登录【ECS控制台】-【安全组管理】-【规则配置】使用工具一键规避此漏洞风险;sg

  • 同时建议您使用安全组公网入策略限制3389远程登录源IP地址,防止利用RDP服务端口入侵,降低安全风险。

注:请您务必确认137、139、445端口使用情况,根据业务需求配置访问控制。

什么是SMB服务?

SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API)。SMB协议是基于TCP-NETBIOS下的,一般端口使用为139,445。

什么是RDP服务?

远程桌面连接组件是从Windows 2000 Server开始由微软公司提供的,一般使用3389作为服务端口,当某台计算机开启了远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了,通过远程桌面功能我们可以实时的操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。但对外开放RDP协议端口存在着安全风险,例如:遭受黑客对服务器账号的暴力破解等,一旦破解成功,将控制服务器,因此强烈建立您对windows服务器进行加固 。

情报来源:

 
关于万网互联
联系我们
关于我们
本站通知
行业新闻
 
[更多]域名相关问题
如何申请域名
万网域名解析详图
中频域名解析详图
新网域名解析详图
解析后打不开网站分析
 
[更多]主机相关问题
如何申请虚拟主机?
如何管理我的虚拟主机?
虚拟主机基本常识
 
[更多]服务器/VPS相关问题
VPS如何远程管理 ?
VPS使用说明?
Vps上站点常见问题解答
 
[更多]邮局相关问题
怎么样申请企业邮局?
如何管理我的邮局?
FOXMAIL或OUTLOOK怎样收发邮件
企业邮局基本知识
 
[更多]其他帮助主题
ICP备案注意事项
虚拟主机备案填写内容
万网空间备案说明
解决“备案网站打不开”的办法
备案被拒绝原因及处理办法集锦
网站备案之典型问题指南
 
首 页 |  关于我们 |  网站地图 |  代理加盟 |  咨询反馈 |  文档中心 |  价格总览 |  付款方式 | |  联系我们

地址:厦门市思明区软件园二期望海路65号之二A905单元  

电话:400-006-2195 企业QQ:800062195 (服务时间上午9:00-12:00 下午13:00-18:00) 投诉:点击投诉

万网互联代理域名注册机构:阿里云计算有限公司/成都西维数码科技有限公司/上海有孚网络股份有限公司

江苏邦宁科技有限公司/商中在线科技股份有限公司/企商在线(北京)网络股份有限公司

厦门三五互联科技有限公司/北京新网数码信息技术有限公司/上海美橙科技信息发展有限公司

腾讯云计算(北京)有限责任公司/厦门纳网科技有限公司/郑州易方科贸有限公司

万网互联代理空间:万网空间/美橙空间/西数空间/景安空间

信息产业部备案:苏ICP备14056369号 苏公网安备 32021102001516号

Copyright © 2001-2024 万网互联 All Rights Reserved. 执行:0毫秒

六九互联是万网在山东的核心代理商,主要经营万网域名万网空间万网邮箱,并销售新网域名中频域名新互域名

ICANN注册商委任协议规定之注册人权利与责任 万网互联代理合同


不良信息举报中心
经营性网站备案信息 可信网站