阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 127179阅读
  • 15回复

[安全漏洞公告专区]【高危漏洞预警】Windows系统 SMB/RDP远程命令执行漏洞

级别: 论坛版主
发帖
241
云币
478
— 本帖被 正禾 执行加亮操作(2017-04-22) —
       2017年4月14日,国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,为了确保您在阿里上的业务安全,请您关注,具体漏洞详情如下: mY !LGN  
                                                          
漏洞编号: hz~jyH.h_  
暂无 a #4 'X*  
漏洞名称: ![a~y`<K,  
Windows系统多个SMB\RDP远程命令执行漏洞 '`fz|.|cbB  
官方评级: CxRh MhvP  
高危 S2*ER  
漏洞描述: u}~%9Pi  
国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,可以利用SMB、RDP服务成功入侵服务 ,3E9H&@j  
漏洞利用条件和方式: Ar VNynQ  
可以通过发布的工具远程代码执行成功利用该漏洞。 sCE2 F_xjL  
漏洞影响范围: @CU~3Md*  
已知受影响的Windows版本包括但不限于: ~^R?HS  
Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。 JDy;Jb  
b&1-tYV  
漏洞检测: &9F(uk=X  
确定服务器对外开启了137、139、445、3389端口,排查方式如下: @Xb>GPVe#L  
外网计算机上telnet 目标地址445,例如:telnet 114.114.114.114 445,Telnet客户端安装步骤 C #A\Rfi  
漏洞修复建议(或缓解措施): @*rED6zH  
1.针对使用中的ECS云服务器 Nu%:7  
  • 微软已经发出通告 ,强烈建议您直接使用 Windows Update 功能为在使用中的ECS更新最新补丁或手工下载以下补丁安装;
78i"3Tm)w  
1)Windows Update更新补丁方式:点击“开始”->“控制面板”->“Windows Update” ,点击“检查更新”: `DPR >dd@  
Pqm)OZE?  
2)安装更新: xFY< ns  
bhb*,iWA  
3)检查安装结果,点击“查看更新历史记录”,检查安装的补丁: $=-Q]ld&]  
Vt!<.8&`  
4)安装完成后,补丁安装状态为“挂起”,重启后生效: ^3:DeZf!u  
f; "6I  
2)使用安骑士安装补丁 L!]~ J?)  
登录到阿里云云盾控制台,进入到安骑士控制台界面,点击ECS的补丁管理功能“立即修复”: XN=Cq*3}  
FTg4i\Wp  
yw( E}   
3)手动下载更新补丁方式: M"t=0[0DM:  
打开补丁链接,下载与操作系统相对应的补丁,然后手动双击安装。 ?9 8]\pI  
工具名称解决措施
“EternalBlue”Addressed by MS17-010
“EmeraldThread”Addressed by MS10-061
“EternalChampion”Addressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher”Addressed prior to the release of Windows Vista
“EsikmoRoll”Addressed by MS14-068
“EternalRomance”Addressed by MS17-010
“EducatedScholar”Addressed by MS09-050
“EternalSynergy”Addressed by MS17-010
“EclipsedWing”Addressed by MS08-067
2%DleR'i  
pM i w9}  
QF fKEMN  
/<s $Am  
补丁链接 (BA2   
.u_k?.8|  
1.微软公告MS17-010 g#ZuRL  
https://technet.microsoft.com/zh-cn/library/security/MS17-010 :~2An-V  
D-8>?`n\  
对应漏洞编号: dLSnhZ  
CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148 r12{XW?~  
2z\4?HJy  
补丁下载链接: ,ZYj8^gF  
1)微软补丁编号:KB4012212 `37GVo4  
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212 47iwb  
ikGH:{  
2)微软补丁编号:KB4012213 |m%M$^sZ}  
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012213 !vQ!_|g1  
%acy%Sy  
3)微软补丁编号:KB4012214 4nhe *ip  
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012214 :`Kr|3bQ  
,qRSB>5c  
4)微软补丁编号:KB4012215 MGO.dRy_  
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012215 %;0w2W  
f$E66yG  
5)微软补丁编号:KB4012216  afEp4(X~  
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012216 I_yIVw;  
vII8>x%*  
6)微软补丁编号:KB4012217 c4LBlLv4  
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012217 /S;o2\  
sQ^>.yG  
7)微软补丁编号:KB4012598 ED/-,>[f  
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 !dLz ?0  
s\&_Kbw] c  
8)微软补丁编号:KB4013198 qD\%8l.]Z  
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198 +k"dN^K]D  
UBRMV s  
9)微软补丁编号:KB4013429 EGwY|+3  
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429 L\og`L)5\  
z1+rz%  
10)微软补丁编号:KB4012606 ^BM/K&7^  
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606 +&\TdvNI4  
A!k}  
2.微软公告MS10-061 3i(k6)H$4  
https://technet.microsoft.com/zh-cn/library/security/MS10-061 ^TWN_(-@  
LbR/it'}  
对应漏洞编号: A2&&iL=j/  
CVE-2010-2729 ^qbX9.\  
@\l> <R9V  
补丁下载链接: M{kPEl&Z  
YY!(/<VI  
1)微软补丁编号:KB2347290 `^J~^Z7Y-  
http://www.microsoft.com/downloads/details.aspx?FamilyID=93FABA6B-0A85-4ACC-B527-A012BBF56B13&displayLang=zh-cn ,P"R.A  
http://www.microsoft.com/downloads/details.aspx?FamilyID=028977FD-0F39-42D4-9FEE-0D90A2931CFD&displayLang=zh-cn lO $M6l  
http://www.microsoft.com/downloads/details.aspx?FamilyID=073B3305-4A81-4EF8-B6AA-E53B31A936B4&displayLang=zh-cn e+R.0E  
http://www.microsoft.com/downloads/details.aspx?FamilyID=11E20088-1BE2-4166-9C97-234B7E9F1C4F&displayLang=zh-cn pjj 5  
http://www.microsoft.com/downloads/details.aspx?FamilyID=34619E9E-1F00-40E4-BE6F-5BBF5E3C801B&displayLang=zh-cn n'*Ljp  
http://www.microsoft.com/downloads/details.aspx?FamilyID=3D79680B-C071-462F-9CEA-551FBD42EDF0&displayLang=zh-cn =w A< F  
http://www.microsoft.com/downloads/details.aspx?FamilyID=C68B9337-883D-4E98-BA0A-90B5CAD46184&displayLang=zh-cn %y w*!A1  
http://www.microsoft.com/downloads/details.aspx?FamilyID=DBB747A5-658D-44CF-BD49-425D1700157F&displayLang=zh-cn lIjHd#q-C  
http://www.microsoft.com/downloads/details.aspx?FamilyID=E08D4F49-5A13-4E1D-B0A7-27B314C2EDB5&displayLang=zh-cn Rg[e~##  
http://www.microsoft.com/downloads/details.aspx?FamilyID=E2E788DE-8400-4BF6-B96B-A915154AA20A&displayLang=zh-cn oZCi_g 5i  
http://www.microsoft.com/downloads/en/details.aspx?familyid=098537D5-BF6E-4E04-AD33-1CDE697E062F&displaylang=en S ,(@Q~  
http://www.microsoft.com/downloads/en/details.aspx?familyid=9F7F3737-056D-44BD-B644-51093B5B501B&displaylang=en "(efd~.]  
http://www.microsoft.com/downloads/en/details.aspx?familyid=CA35A520-C4DA-41BB-ABCC-D5BC534FF19A&displaylang=en |I\A0aa  
http://www.microsoft.com/downloads/en/details.aspx?familyid=D8C635F8-8978-44BF-B457-E07368F08EF4&displaylang=en Mqh~5NM  
8]?1gDS|9O  
3.微软公告MS14-068 )q l?}  
https://technet.microsoft.com/zh-cn/library/security/MS14-068 @$+[IiP  
|16 :Zoq  
对应漏洞编号: ONjc},_  
CVE-2014-6324 [d&Faa[`  
&yA<R::o  
补丁下载链接: Wq9s[)F"Z  
$GO'L2oLwn  
1)微软补丁编号:KB3011780 }\0"gM  
http://www.microsoft.com/zh-CN/download/details.aspx?id=44960 >rFvT>@NU  
http://www.microsoft.com/zh-CN/download/details.aspx?id=44970http://www.microsoft.com/en-us/download/details.aspx?id=44984 {H+?DMh  
http://www.microsoft.com/zh-CN/download/details.aspx?id=44967http://www.microsoft.com/zh-CN/download/details.aspx?id=44971 H0(zE *c~  
http://www.microsoft.com/en-us/download/details.aspx?id=44983http://www.microsoft.com/zh-CN/download/details.aspx?id=44978 -KNJCcBJ  
http://www.microsoft.com/zh-CN/download/details.aspx?id=44981http://www.microsoft.com/en-us/download/details.aspx?id=44973 f.P( {PN  
http://www.microsoft.com/zh-CN/download/details.aspx?id=44982http://www.microsoft.com/zh-CN/download/details.aspx?id=44979 |Gf{}  
http://www.microsoft.com/zh-CN/download/details.aspx?id=44976http://www.microsoft.com/zh-CN/download/details.aspx?id=44965 /* O,T  
nDOIE)#  
4.微软公告MS09-050 (;j7 {(  
a2 rv4d=  
https://technet.microsoft.com/zh-cn/library/security/MS09-050 "|G,P-5G"  
y^A $bTQq  
对应漏洞编号: Km nr }Lp9  
CVE-2009-2526、CVE-2009-2532、CVE-2009-3103 8 KkpXaz  
H\k5B_3OU  
补丁下载链接: piG1&*  
\fz j fZ1n  
1)微软补丁编号:KB975517 0@Ijk(|  
https://www.microsoft.com/en-us/download/details.aspx?id=2578 JgB# EoF  
https://www.microsoft.com/en-us/download/details.aspx?id=12010 l =yHx\  
https://www.microsoft.com/en-us/download/details.aspx?id=3486 Fq9[:  
https://www.microsoft.com/en-us/download/details.aspx?id=3195 gCJ'wv)6|%  
https://www.microsoft.com/en-us/download/details.aspx?id=11858 4r. W:}4:  
fEjW7 c  
5.微软公告MS08-067 %yMzgk[u  
https://technet.microsoft.com/zh-cn/library/security/MS08-067 Vw*x3>`  
HIq1/)  
对应漏洞编号:  +o  
CVE-2008-4250 1pb;A;F,A  
}SV3PdE  
补丁下载链接:1)微软补丁编号:KB958644 Y2X1!Em>B  
https://www.microsoft.com/en-us/download/details.aspx?id=11141 ~{+{pcO}  
https://www.microsoft.com/en-us/download/details.aspx?id=16713 X4$e2f  
https://www.microsoft.com/en-us/download/details.aspx?id=18905 vs. uq  
https://www.microsoft.com/en-us/download/details.aspx?id=19478 y2R=%EFh6  
https://www.microsoft.com/en-us/download/details.aspx?id=20113 <yS"c5D6  
https://www.microsoft.com/en-us/download/details.aspx?id=21663 +*J4q5;E[?  
https://www.microsoft.com/en-us/download/details.aspx?id=21974 B0i}Y-Z  
https://www.microsoft.com/en-us/download/details.aspx?id=3205 rl%Kn^JJ~  
https://www.microsoft.com/en-us/download/details.aspx?id=3404 i'wF>EBz  
https://www.microsoft.com/en-us/download/details.aspx?id=530 >t2b?(h/x  
https://www.microsoft.com/en-us/download/details.aspx?id=5873 f4S@lyYF  
https://www.microsoft.com/en-us/download/details.aspx?id=6185 $t$f1?  
https://www.microsoft.com/en-us/download/details.aspx?id=6203 u mlZ(??.  
https://www.microsoft.com/en-us/download/details.aspx?id=7605
  • 目前阿里云控制台也发布了此漏洞的一键规避工具,针对公网入方向配置网络访问控制策略,如果您业务上没有使用137、139、445端口,您可登录【ECS控制台】-【安全组管理】-【规则配置】使用工具一键规避此漏洞风险;
<~M9 nz(<  
V@:=}*E  
M@g gLW  
  • 使用安全组公网入策略限制3389远程登录源IP地址;
  • 同时我们建议您根据业务需求,对内网入方向配置同样的访问控制策略。
~It+|X=Kx  
2.针对新购ECS云服务器 g&T Cff  
  • 目前(2017年4月22日起)阿里云全网提供的Windows镜像均已安装最新补丁;
  • 在新购主机的时候,调整安全组策略,仅开通必要的协议和端口访问控制权限;
  • 如果您有其他端口的公网访问需求,您可以通过【管理控制台】-【云服务器ECS】-【安全组】-【配置规则】助增加对应端口的允许规则,具体操作您可参考安全组配置指南
修复验证方式 E ZKz-}  
如果成功配置好安全组访问控制策略之后,您可以使用telnet客户端进行测试验证,如果未返回结果,表示您的服务器无法被外网利用攻击。 -^H5z+"^  
以下为无法为端口不通的结果,无法被黑客利用攻击: t4/eB<fP  
 -C  ON  
]zU<=b@  
 #>jH[Q  
什么是SMB服务? ,R}KcZG)  
SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API)。SMB协议是基于TCP-NETBIOS下的,一般端口使用为139,445。 `_U0>Bfg;  
THgzT\_zq  
W lQ=CRY  
什么是RDP服务? ?gwbg*  
远程桌面连接组件是从Windows 2000 Server开始由微软公司提供的,一般使用3389作为服务端口,当某台计算机开启了远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了,通过远程桌面功能我们可以实时的操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。 ]8>UII,US  
但对外开放RDP协议端口存在着安全风险,例如:遭受黑客对服务器账号的暴力破解等,一旦破解成功,将控制服务器,因此强烈建立您对服务器进行加固 0 a6@HwO  
Y"kS!!C>[  
'&:x_WwVrO  
情报来源: e'Us(]ZO  
  • https://zhuanlan.zhihu.com/p/26375989?utm_medium=social&utm_source=wechat_timeline&from=timeline&isappinstalled=0
  • http://mp.weixin.qq.com/s/yPExtMfVbpNo-5S2Ymvz-w
  • https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0
|C6(0fgWd  
*7;*@H*jd  
qb> r\bc  
@b*T4hwA.  
11<@++,i  
_K}_h\e.  
OO\biYh o  
tD7C7m  
J=SB/8tQ)T  
<<On*#80w  
1X"H6j[w  
#1dTM-  
@~#79B"9&  
bOSYr<R&  
$ l sRg:J  
lDPRn~[#\  
5?{ >9j5  
@z$pPo0fW  
tct 5*.|  
:KV,:13`D  
N 1f~K.e\  
.`Old{<  
TaQ "G  
`k{ff  
*fvI.cKiGP  
 sx(l  
1|~#028  
? W2I1HEy  
(m3I#L  
*4hOCQ[  
z)W#&JFF  
uWR,6\_jY  
xU13fl  
|Y8Mk2,s  
7\0|`{|R@  
CdzkMVH  
{GX &)c4  
Z\*5:a]  
q]iKz%|Z/  
>xU72l#5  
qtdxMX]iR  
[ 此帖被正禾在2017-04-25 19:51重新编辑 ]
级别: 新人
发帖
2
云币
2
只看该作者 沙发  发表于: 2017-04-15
Re【高危漏洞预警】Windows系统 SMBRDP远程命令执行漏洞
请问 “云享主机-翔云主机I型(ABTN)”也需要下载安装所有的windows 漏洞补丁吗?另外,我服务器的137、139、445、3389端口已经提前关闭,是否还存在安全隐患?
[ 此帖被kfcfish在2017-04-15 21:01重新编辑 ]
级别: 新人
发帖
5
云币
7
只看该作者 板凳  发表于: 2017-04-15
Re【高危漏洞预警】Windows系统 SMBRDP远程命令执行漏洞
感谢阿里云及时的提醒,我服务器是windows2003系统,SMB服务漏洞目前已找专业的SINE 安全公司修复了此漏洞,非常感谢。 TZ&4  
还有点疑问,就是这个远程端口我的不是3389,有影响没。
级别: 论坛版主
发帖
241
云币
478
只看该作者 地板  发表于: 2017-04-15
回 1楼(kfcfish) 的帖子
如果确定关闭端口,暂时无风险。
级别: 论坛版主
发帖
241
云币
478
只看该作者 4楼 发表于: 2017-04-15
回 2楼(凤凰天使) 的帖子
修改端口只是增加了攻击者的难度,现在主要是通过协议识别,本质上还是存在风险,建议您配置安全组入方向的规则,限制特定的访问源IP,不要外网所有的用户IP都可以访问您的服务器,类似出门上锁一样,钥匙只保存在您的手中或您信任的人。 h|J;6Sm@  
感谢您对阿里云的支持!
级别: 小白
发帖
47
云币
76
只看该作者 5楼 发表于: 2017-04-16
Re【高危漏洞预警】Windows系统 SMBRDP远程命令执行漏洞
windows 2012 r2 有此漏洞吗?
级别: 新人
发帖
10
云币
10
只看该作者 6楼 发表于: 2017-04-16
Re【高危漏洞预警】Windows系统 SMBRDP远程命令执行漏洞
引用
引用楼主正禾于2017-04-15 10:15发表的 【高危漏洞预警】Windows系统 SMB\RDP远程命令执行漏洞 : p `P~i&_  
       2017年4月14日,国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,为了确保您在阿里云上的业务安全,请您关注,具体漏洞详情如下: URw5U1  
                                
漏洞编号: < kP+eD  
暂无 Cj^{9'0  
漏洞名称: h}&b+ 1{X  
Windows系统多个SMB\RDP远程命令执行漏洞官方评级: 高危 漏洞描述: 国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,可以利用SMB、RDP服务成功入侵服务器。 Wi$dZOcSJ  
....... [url=https://bbs.aliyun.com/job.php?action=topost&tid=312815&pid=tpc][/url] Yb:pAzw6  
u|fXP)>.  
o8ppMM8_R[  
安装telnet客户端,比较方便分享的方法: &&7r+.Y  
管理员权限命令提示符: CDdkoajBa  
  1. dism /online /enable-feature /featurename:TelnetClient
Ik~1:D]f  
级别: 新人
发帖
10
云币
10
只看该作者 7楼 发表于: 2017-04-16
ReRe【高危漏洞预警】Windows系统 SMBRDP远程命令执行漏洞
引用
引用第5楼kyokyokk于2017-04-16 10:36发表的 Re【高危漏洞预警】Windows系统 SMBRDP远程命令执行漏洞 : ~;#MpG;e  
windows 2012 r2 有此漏洞吗? [url=https://bbs.aliyun.com/job.php?action=topost&tid=312815&pid=872873][/url] 0l\y.   
eon!CE0  
smb 这个微软公告是全部收影响, K%j&/T j1  
请立刻进行应对 NAr1[{^E,  
W/+K9S25  
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 9NpD!A&64<  
2eP ;[o  
SMB RCE 下面所有系统(甚至有 2016)都是 critical
级别: 新人
发帖
2
云币
2
只看该作者 8楼 发表于: 2017-04-16
回 3楼正禾的帖子
请问“云享主机-翔云主机(ABTN)”的用户是否需要手动下载安装微软的补丁,有没有类似的云主机的一键修复功能?
级别: 小白
发帖
47
云币
76
只看该作者 9楼 发表于: 2017-04-17
Re【高危漏洞预警】Windows系统 SMBRDP远程命令执行漏洞
是否在windows里直接安装系统更新就可以了?还需要其它措施吗?
级别: 论坛版主
发帖
241
云币
478
只看该作者 10楼 发表于: 2017-04-17
回 9楼(kyokyokk) 的帖子
请查看修复解决措施的每一个方法,建议安全组策略和补丁都要做好。
级别: 论坛版主
发帖
241
云币
478
只看该作者 11楼 发表于: 2017-04-17
回 5楼(kyokyokk) 的帖子
建议全部打上补丁,做好网络访问控制策略,并对系统进行加固,防患于未然。
级别: 论坛版主
发帖
241
云币
478
只看该作者 12楼 发表于: 2017-04-17
回 8楼(kfcfish) 的帖子
万网的服务器将会统一升级。
级别: 新人
发帖
1
云币
1
只看该作者 13楼 发表于: 2017-04-24
我已经进安全组 并点击了批量修复(当前地域全部安全组)
我已经进安全组 并点击了  批量修复(当前地域全部安全组),点完之后,批量修复按键变成了灰色,其他都没变化,我不知道这样就好了吗,可以直接关页面了吗?还是正在批量修复当中,需要耐心等待!因为还没有任何指令说已批量修复成功。
级别: 论坛版主
发帖
241
云币
478
只看该作者 14楼 发表于: 2017-04-24
回 13楼(阿胃) 的帖子
点击安全组一键修复功能后,对应的安全组公网入方向会增加一条策略,您可以检查一下,并按照文档里面的内容可以复测端口是否通。
发表主题 回复主题
« 返回列表
«12»
共2页
上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 55 - 49 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)