Shadow Brokers曝光Windows系統(tǒng)高危漏洞 騰訊云發(fā)布修復(fù)方案

2017年4月15日，國(guó)外黑客組織Shadow Brokers泄露出了一份機(jī)密文檔，其中包含了多個(gè)Windows遠(yuǎn)程漏洞利用工具，外部攻擊者利用此工具可遠(yuǎn)程攻擊并獲取服務(wù)器控制權(quán)限，該漏洞影響極大。當(dāng)日下午，騰訊云已發(fā)出預(yù)警通知，并對(duì)外分享了云鼎實(shí)驗(yàn)室的最新技術(shù)分析。

目前已知受影響的Windows版本包括但不限于：

可見(jiàn)，目前大量windows服務(wù)操作系統(tǒng)版本均在受影響之列。

為此，騰訊云發(fā)布公告，提醒用戶及時(shí)關(guān)注該漏洞并開(kāi)展相應(yīng)的安全整改措施，此次風(fēng)險(xiǎn)描述及修復(fù)方案如下：

風(fēng)險(xiǎn)等級(jí)：高風(fēng)險(xiǎn)

漏洞風(fēng)險(xiǎn)：黑客可以通過(guò)發(fā)布的工具遠(yuǎn)程攻擊服務(wù)器。

影響服務(wù)：主要影響SMB和RDP服務(wù)

漏洞驗(yàn)證：

確定服務(wù)器是否對(duì)外開(kāi)啟了137、139、445端口

測(cè)試方法：服務(wù)器命令行窗口執(zhí)行netstat -an查看是否有相應(yīng)對(duì)口開(kāi)放，同時(shí)亦可以通過(guò)訪問(wèn)http://tool.chinaz.com/port/(輸入IP，下面填入137,139,445,3389)判斷服務(wù)端口是否對(duì)外開(kāi)啟。注意：rdp是遠(yuǎn)程桌面服務(wù)，不局限于3389端口，如果您的windows遠(yuǎn)程桌面使用了其他端口，也在受影響之列。

【漏洞修復(fù)建議】

1、推薦方案：更新官方補(bǔ)丁

截至目前，方程式組織所使用的大部分漏洞均官方均已發(fā)布相關(guān)補(bǔ)丁，強(qiáng)烈建議您更新相關(guān)補(bǔ)丁。攻擊工具所對(duì)應(yīng)的補(bǔ)丁列表如下：

若您的服務(wù)器暫時(shí)不方便更新補(bǔ)丁，騰訊云推薦的臨時(shí)解決方案如下：

臨時(shí)解決方案(兩種方案)：

2.1 利用騰訊云安全組配置安全防護(hù)規(guī)則，操作如下：

下圖為利用安全組限制可以遠(yuǎn)程訪問(wèn)的3389端口的源IP。

下圖為利用安全組禁用137,139,445端口。

2.2 針對(duì)windows 2008版本及以上的系統(tǒng)可以臨時(shí)關(guān)閉相應(yīng)服務(wù)操作步驟如下:

1)未修復(fù)之前截圖如下：

2)修復(fù)操作如下：禁止windows共享，卸載下圖兩個(gè)組件(此操作的目的是禁止445端口)

(實(shí)施完畢后，需要重啟系統(tǒng)生效，操作前請(qǐng)您根據(jù)對(duì)業(yè)務(wù)的影響情況進(jìn)行評(píng)估)

3)禁止netbios(此操作的目的是禁止137,139端口)

重啟后我們看到137,139,445端口全部關(guān)閉。

4)關(guān)閉遠(yuǎn)程智能卡(此操作的目的是關(guān)閉windows智能卡功能，避免rdp服務(wù)被攻擊利用)

騰訊云在公告中表示，將對(duì)該漏洞持續(xù)跟進(jìn)關(guān)注。