Windows遠端命令執行0day漏洞的安全預警及其處理建議
4月14日晚,一個叫Shadow Brokers的黑客組織洩露了一大波Windows的遠端漏洞利用工具,事件細節可以參照運維派前面的文章《Windows血崩,一波大規模 0day 攻擊洩漏》。
由於本次事件影響面廣且嚴重,一些IT廠商(包括事件的主角:微軟)都在第一時間給了緊急解決方案,供大家參考:
一、概要
Shadow Brokers洩露多個Windows 遠端漏洞利用工具,可以利用SMB、RDP服務成功入侵伺服器,可以覆蓋全球 70% 的 Windows 伺服器,且POC已公開,任何人都可以直接下載並遠端攻擊利用。
二、漏洞級別
漏洞級別:緊急。(說明:漏洞級別共四級:一般、重要、嚴重、緊急。)
三、影響範圍
目前已知受影響的 Windows 版本包括但不限於:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0
四、排查方法
1. 檢視windows系統版本;
2. 檢查埠開放情況(是否開放了137、139、445、3389埠),本機cmd命令netstat –an 檢視埠監聽情況,然後在外網主機telnet 目標主機埠 ,如:telnet 114.114.114.114 137(其中114.114.114.114表示你要排查的伺服器的IP地址,137表示埠)
五、安全建議
1) 臨時規避措施:關閉135、137、139、445,3389埠開放到外網。推薦使用安全組策略禁止135、137、139、445埠;3389埠限制只允許特定IP訪問。(網路埠關閉,可按鍵:如何關閉Windows系統137, 139, 445網路埠?)
2) 及時到微軟官網下載補丁升級
微軟官方公告連線:
微軟已經發出通告 ,強烈建議您更新最新補丁:
Code Name | Solution |
“EternalBlue” | |
“EmeraldThread” | |
“ErraticGopher” | Addressed prior to the release of Windows Vista |
“EsikmoRoll” | |
“EternalRomance” | |
“EducatedScholar” | |
“EternalSynergy” | |
“EclipsedWing” |
注意:修復漏洞前請將資料備份,並進行充分測試。