当前位置:首页 > 每日精选 > Shadow Brokers曝光Windows系统高危漏洞 微软称已修复漏洞

Shadow Brokers曝光Windows系统高危漏洞 微软称已修复漏洞

核心提示: 国外黑客组织Shadow Brokers泄露出了一份机密文档,其中包含了多个Windows远程漏洞利用工具,外部攻击者利用此工具可远程攻击并获取服务器控制权限,该漏洞影响极大。

2017年4月15日,国外黑客组织Shadow Brokers泄露出了一份机密文档,其中包含了多个Windows远程漏洞利用工具,外部攻击者利用此工具可远程攻击并获取服务器控制权限,该漏洞影响极大。当日下午,腾讯云发出预警通知,并对外分享云鼎实验室针对该漏洞的技术分析。

目前已知受影响的Windows版本包括但不限于:

Shadow Brokers曝光Windows系统高危漏洞 微软称已修复漏洞

可见,目前大量windows服务操作系统版本均在受影响之列。

为此,腾讯云发布公告,提醒用户及时关注该漏洞并开展相应的安全整改措施,此次风险描述及修复方案如下:

风险等级:高风险

漏洞风险:黑客可以通过发布的工具远程攻击服务器。

影响服务:主要影响SMB和RDP服务

漏洞验证:

确定服务器是否对外开启了137、139、445端口

测试方法:服务器命令行窗口执行netstat -an查看是否有相应对口开放,同时亦可以通过访问http://tool.chinaz.com/port/(输入IP,下面填入137,139,445,3389)判断服务端口是否对外开启。注意:rdp是远程桌面服务,不局限于3389端口,如果您的windows远程桌面使用了其他端口,也在受影响之列。

【漏洞修复建议】

1、推荐方案:更新官方补丁

截至目前,方程式组织所使用的大部分漏洞官方均已发布相关补丁,强烈建议用户更新相关补丁。攻击工具所对应的补丁列表如下:

Shadow Brokers曝光Windows系统高危漏洞 微软称已修复漏洞

若服务器暂时不方便更新补丁,腾讯云推荐的临时解决方案如下:

2、 临时解决方案(两种方案):

2.1  利用腾讯云安全组配置安全防护规则,操作如下:

下图为利用安全组限制可以远程访问的3389端口的源IP。

Shadow Brokers曝光Windows系统高危漏洞 微软称已修复漏洞

下图为利用安全组禁用137,139,445端口。

Shadow Brokers曝光Windows系统高危漏洞 微软称已修复漏洞

2.2 针对windows 2008版本及以上的系统可以临时关闭相应服务操作步骤如下:

1)未修复之前截图如下:

Shadow Brokers曝光Windows系统高危漏洞 微软称已修复漏洞

2)修复操作如下:禁止windows共享,卸载下图两个组件(此操作的目的是禁止445端口

Shadow Brokers曝光Windows系统高危漏洞 微软称已修复漏洞

修复操作如下:禁止windows共享,卸载下图两个组件

3)禁止netbios(此操作的目的是禁止137,139端口)

Shadow Brokers曝光Windows系统高危漏洞 微软称已修复漏洞

重启后可看到137,139,445端口全部关闭。

Shadow Brokers曝光Windows系统高危漏洞 微软称已修复漏洞

4)关闭远程智能卡(此操作的目的是关闭windows智能卡功能,避免rdp服务被攻击利用

Shadow Brokers曝光Windows系统高危漏洞 微软称已修复漏洞

另外,截至发稿时,微软表示已经修补了 Shadow Brokers 小组发布的 3 个 Windows 漏洞。可能源于美国国家安全局(NSA)的黑客工具昨天在线发布,微软已经测试并确认修补程序已经可用于所有当前支持的 Windows 版本。这意味着由于微软已经不再支持较旧的 Windows XP 或 Windows Vista,这 2 个系统仍然可能受到这三个漏洞的攻击,微软不太可能为这些旧版本的 Windows 提供补丁。

微软在这个工具发布几个小时后就做出回应。在微软做出回应之前,数位知名安全研究人员表达了他们对这个工具以及 3 个漏洞的担心,其中一位安全人员呼吁 Windows 用户在周末关闭电脑,甚至 NSA 叛将爱德华 · 斯诺登(Edward Snowden)也重视这些漏洞进,声称 “NSA 并没有向微软发出警告 “。微软本身似乎也暗示 NSA 并没有警告微软公司。微软发言人在向路透社发表声明时说:除了记者以外,没有任何个人或组织已经就 Shadow Brokers 发布的材料与我们联系。

然而,一位安全研究员 grugq 声称 NSA 本身可能已经实际报告了一些 bug。虽然微软总是公布安全漏洞报告的来源,但 grugq 注意到,上个月发布的修补程序(MS17-010)没有给出报告来源,这个修补程序解决了一些泄露的 NSA 漏洞。Shadow Brokers 或其他团体 / 个人可能提前向微软报告了漏洞。

无论哪种方式,如果用户运行的是 Windows 7 或更高版本,那么只要用户应用 Windows Update 中的所有更新,就可以安全避免这轮攻击。如果用户仍然运行 Windows XP 或 Windows Vista,那么现在是时候升级到更新的操作系统。

请选择你看完该文章的感受:

1不错 0超赞 0无聊 0扯淡 0不解 0路过 3万万没想到