近期境外黑客組織The ShadowBrokers公布了一批Windows高危漏洞及批量利用工具,利用該工具可致Windows機器被執行任意命令,引發包括主機藍屏、被入侵刪除數據等一系列嚴重后果。
微軟官方已發布了漏洞補丁,但大量客戶尚未修補,風險極大,同時安全求助量也急劇增大。為了更好的提升云主機的安全性,請您務必留意以下信息:
 

針對使用中的ECS服務器:

1、如果您業務上沒有使用TCP[42、135、137、139、445],UDP[135、137、138、139]端口,請您盡快登陸【管理控制臺】-【云服務器ECS】-【安全組】,點擊【批量修復Windows SMB漏洞】按鈕,來關閉相關的高危端口。

2、如果您業務上有使用SMB協議或以上端口,您可登陸【管理控制臺】-【云服務器ECS】-【安全組】,點擊【忽略修復】按鈕忽略修復。考慮到風險,我們強烈建議您在忽略修復前,安裝更新Windows最新補丁并重啟系統使補丁生效。 

為保障云上客戶的整體數據安全和服務可靠,在4月24日未執行修復或忽略修復的用戶,阿里云將參考行業通用方案,在平臺層面調整默認的安全組策略,屏蔽公網對云服務器TCP[42、135、137、139、445],UDP[135、137、138、139]端口的訪問請求,這些端口受本次漏洞影響,極易導致服務器被入侵。如果您沒有使用以上端口,此操作不會對您產生任何影響。

針對新購ECS服務器:

1、目前阿里云全網提供的windows鏡像均已安裝最新補丁。

2、在新購主機的時候,調整安全組策略,僅開通必要的協議和端口訪問權限。

如果您有其他端口的公網訪問需求,您可以通過【管理控制臺】-【云服務器ECS】-【安全組】-【配置規則】自助增加對應端口的允許規則,具體操作您可參考:https://help.aliyun.com/document_detail/25471.html。

【漏洞公告】高危:Windows系統 SMB/RDP遠程命令執行漏洞

漏洞編號:

暫無

漏洞名稱:

Windows系統多個SMB\RDP遠程命令執行漏洞官方評級:

高危

漏洞描述:

國外黑客組織Shadow Brokers發出了NSA方程式組織的機密文檔,包含了多個Windows 遠程漏洞利用工具,該工具包可以可以覆蓋全球70%的Windows服務器,可以利用SMB、RDP服務成功入侵服務器。

漏洞利用條件和方式:

可以通過發布的工具遠程代碼執行成功利用該漏洞。

漏洞影響范圍:

已知受影響的Windows版本包括但不限于:

Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

漏洞檢測:

確定服務器對外開啟了137、139、445、3389端口,排查方式如下:外網計算機上telnet 目標地址445,例如:telnet 114.114.114.114 445

Telnet客戶端安裝步驟

漏洞修復建議(或緩解措施):

• 微軟已經發出通告 ,強烈建議您直接使用 Windows Update 更新最新補丁或手工下載以下補丁安裝;

• 目前阿里云控制臺發布了此漏洞的一鍵解決工具,針對公網入方向配置網絡訪問控制策略,如果您業務上沒有使用137、139、445端口,您可登錄【ECS控制臺】-【安全組管理】-【規則配置】使用工具一鍵規避此漏洞風險;

• 同時建議您使用安全組公網入策略限制3389遠程登錄源IP地址,防止利用RDP服務端口入侵,降低安全風險。

注:請您務必確認137、139、445端口使用情況,根據業務需求配置訪問控制。

什么是SMB服務?

SMB(Server Message Block)通信協議是微軟(Microsoft)和英特爾(Intel)在1987年制定的協議,主要是作為Microsoft網絡的通訊協議。SMB 是在會話層(session layer)和表示層(presentation layer)以及小部分應用層(application layer)的協議。SMB使用了NetBIOS的應用程序接口 (Application Program Interface,簡稱API)。SMB協議是基于TCP-NETBIOS下的,一般端口使用為139,445。

什么是RDP服務?

遠程桌面連接組件是從Windows 2000 Server開始由微軟公司提供的,一般使用3389作為服務端口,當某臺計算機開啟了遠程桌面連接功能后我們就可以在網絡的另一端控制這臺計算機了,通過遠程桌面功能我們可以實時的操作這臺計算機,在上面安裝軟件,運行程序,所有的一切都好像是直接在該計算機上操作一樣。但對外開放RDP協議端口存在著安全風險,例如:遭受黑客對服務器賬號的暴力破解等,一旦破解成功,將控制服務器,因此強烈建立您對windows服務器進行加固 。

情報來源:

• https://zhuanlan.zhihu.com/p/26375989?utm_medium=social&utm_source=wechat_timeline&from=timeline&isappinstalled=0
• http://mp.weixin.qq.com/s/yPExtMfVbpNo-5S2Ymvz-w
• https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0