关于方程式组织黑客工具包(包含多个Windows 0day利用工具)再曝光预警通知
2017-04-20 17:07
尊敬的UFOVPS客户:
您好,2017年4月15日,国外黑客组织Shadow Brokers泄露出了一份机密文档,其中包含了多个Windows 0Day远程漏洞利用工具,外部攻击者利用此工具可远程攻击并获取服务器控制权限,该漏洞影响极大。
目前已知受影响的Windows版本包括但不限于(目前大量windows服务操作系统版本均在受影响之列):
Windows NT |
Windows 2000 |
Windows XP |
Windows 2003 |
Windows Vista |
Windows 7 |
Windows 8 |
Windows 2008 |
Windows 2008 R2 |
Windows Server 2012 SP0 |
为保证您在UFOVPS上的业务安全,请您务必及时关注该漏洞并开展相应的安全整改措施,此次风险描述及修复方案如下:
【风险等级】
高风险
高风险
【漏洞风险】
黑客可以通过发布的工具远程攻击服务器。
黑客可以通过发布的工具远程攻击服务器。
【影响服务】
主要影响SMB和RDP服务
主要影响SMB和RDP服务
【漏洞验证】
确定服务器是否对外开启了137、139、445端口
测试方法:服务器命令行窗口执行netstat -an查看是否有相应对口开放,同时亦可以通过访问http://tool.chinaz.com/port/(输入IP,下面填入137,139,445,3389)判断服务端口是否对外开启。注意:rdp是远程桌面服务,不局限于3389端口,如果您的windows远程桌面使用了其他端口,也在受影响之列。
【漏洞修复建议】
1、推荐方案:更新官方补丁
截至目前,方程式组织所使用的大部分漏洞均官方均已发布相关补丁,强烈建议您更新相关补丁。攻击工具所对应的补丁列表如下:
工具名称 | 解决措施 |
“EternalBlue” | Addressed by MS17-010 |
“EmeraldThread” | Addressed by MS10-061 |
“EternalChampion” | Addressed by CVE-2017-0146 & CVE-2017-0147 |
“ErraticGopher” | Addressed prior to the release of Windows Vista |
“EsikmoRoll” | Addressed by MS14-068 |
“EternalRomance” | Addressed by MS17-010 |
“EducatedScholar” | Addressed by MS09-050 |
“EternalSynergy” | Addressed by MS17-010 |
“EclipsedWing” | Addressed by MS08-067 |
若您的服务器暂时不方便更新补丁,UFOVPS推荐的临时解决方案如下:
2、临时解决方案:
针对windows2008版本及以上的系统可以临时关闭相应服务操作步骤如下:
a:未修复之前截图如下:
b:修复操作如下:禁止windows共享,卸载下图两个组件(此操作的目的是禁止445端口)
(实施完毕后,需要重启系统生效,操作前请您根据对业务的影响情况进行评估)
c:禁止netbios(此操作的目的是禁止137,139端口)
重启后我们看到137,139,445端口全部关闭。
d:关闭远程智能卡(此操作的目的是关闭windows智能卡功能,避免rdp服务被攻击利用)