2017年4月14日,國外黑客組織Shadow Brokers泄露出了一份機密文檔,其中包含了多個(gè)Windows遠程漏洞利用工具,外部攻擊者利用此工具可遠程攻擊并獲取服務(wù)器控制權限。微軟已于2017年4月15日發(fā)布修復補丁。
風(fēng)險等級:高風(fēng)險
漏洞級別:緊急
影響服務(wù):SMB和RDP服務(wù)
漏洞驗證:確定服務(wù)器是否對外開(kāi)啟了137、139、445端口
測試方法:服務(wù)器命令行窗口執行netstat -an查看是否有相應對口開(kāi)放,同時(shí)亦可以通過(guò)訪(fǎng)問(wèn)http://www.tjdsmy.cn/port/(輸入IP,下面填入137,139,445,3389)判斷服務(wù)端口是否對外開(kāi)啟。注意:rdp是遠程桌面服務(wù),不局限于3389端口,如果您的windows遠程桌面使用了其他端口,也在受影響之列。
已知受影響的 Windows 版本:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0
漏洞修復建議
1、更新官方補丁
http://www.tjdsmy.cn/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
2、臨時(shí)解決方案
i. 禁止windows共享(445端口),卸載下圖兩個(gè)組件。需要重啟系統生效,操作前請您根據對業(yè)務(wù)的影響情況進(jìn)行評估
ii. 禁用netbios(137、139端口)
iii. 關(guān)閉遠程智能卡(此操作的目的是關(guān)閉windows智能卡功能,避免rdp服務(wù)被攻擊利用)
藍隊云windows系列云服務(wù)器默認已關(guān)閉遠程智能卡服務(wù)。
iv. 開(kāi)啟系統防火墻,僅放行必須的端口,屏蔽135、137、139、445端口對外開(kāi)放。
注意:修復漏洞前請最好備份,并進(jìn)行充分測試。
藍隊云 技術(shù)部
2017年4月16日
售前咨詢(xún)
售后咨詢(xún)
備案咨詢(xún)
二維碼
TOP