2017年4月14日，國(guó)外黑客組織Shadow Brokers發(fā)出了NSA方程式組織的機(jī)密文檔，包含了多個(gè)Windows 遠(yuǎn)程漏洞利用工具，該工具包可以可以覆蓋全球70%的Windows服務(wù)器，為了確保您在阿里云上的業(yè)務(wù)安全，請(qǐng)您關(guān)注，具體漏洞詳情如下:

漏洞名稱(chēng):

Windows系統(tǒng)多個(gè)SMBRDP遠(yuǎn)程命令執(zhí)行漏洞官方評(píng)級(jí): 高危 漏洞描述: 國(guó)外黑客組織Shadow Brokers發(fā)出了NSA方程式組織的機(jī)密文檔，包含了多個(gè)Windows 遠(yuǎn)程漏洞利用工具，該工具包可以可以覆蓋全球70%的Windows服務(wù)器，可以利用SMB、RDP服務(wù)成功入侵服務(wù)器。

漏洞利用條件和方式:

可以通過(guò)發(fā)布的工具遠(yuǎn)程代碼執(zhí)行成功利用該漏洞。

漏洞影響范圍:

已知受影響的Windows版本包括但不限于：

Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0；

漏洞檢測(cè):

確定服務(wù)器對(duì)外開(kāi)啟了137、139、445、3389端口，排查方式如下:外網(wǎng)計(jì)算機(jī)上telnet 目標(biāo)地址445，例如：telnet 114.114.114.114 445

Telnet命令安裝:

1：打開(kāi)“開(kāi)始”---”運(yùn)行” ，或者直接鍵盤(pán) windows鍵+R 調(diào)出運(yùn)行，輸入 appwiz.cpl (打開(kāi)添加刪除程序管理窗口） ；

2：出現(xiàn)的（程序和功能)菜單啦，點(diǎn)擊“打開(kāi)或關(guān)閉windows功能，同樣隨后出現(xiàn)的“打開(kāi)或關(guān)閉windows功能”列表里面，找到“telnet客戶(hù)端”把前面的勾勾上，然后點(diǎn)擊確定。

漏洞修復(fù)建議(或緩解措施):

• 微軟已經(jīng)發(fā)出通告 ，強(qiáng)烈建議您直接使用 Windows Update 更新最新補(bǔ)丁或手工下載以下補(bǔ)丁安裝；

什么是SMB服務(wù)？

SMB（Server Message Block）通信協(xié)議是微軟（Microsoft）和英特爾(Intel)在1987年制定的協(xié)議，主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議。SMB 是在會(huì)話(huà)層（session layer）和表示層（presentation layer）以及小部分應(yīng)用層（application layer）的協(xié)議。SMB使用了NetBIOS的應(yīng)用程序接口 （Application Program Interface，簡(jiǎn)稱(chēng)API）。SMB協(xié)議是基于TCP－NETBIOS下的，一般端口使用為139，445。

什么是RDP服務(wù)？

遠(yuǎn)程桌面連接組件是從Windows 2000 Server開(kāi)始由微軟公司提供的，一般使用3389作為服務(wù)端口，當(dāng)某臺(tái)計(jì)算機(jī)開(kāi)啟了遠(yuǎn)程桌面連接功能后我們就可以在網(wǎng)絡(luò)的另一端控制這臺(tái)計(jì)算機(jī)了，通過(guò)遠(yuǎn)程桌面功能我們可以實(shí)時(shí)的操作這臺(tái)計(jì)算機(jī)，在上面安裝軟件，運(yùn)行程序，所有的一切都好像是直接在該計(jì)算機(jī)上操作一樣。但對(duì)外開(kāi)放RDP協(xié)議端口存在著安全風(fēng)險(xiǎn)，例如:遭受黑客對(duì)服務(wù)器賬號(hào)的暴力破解等，一旦破解成功，將控制服務(wù)器，因此強(qiáng)烈建立您對(duì)windows服務(wù)器進(jìn)行加固 。