【漏洞公告】高危:Windows系統 SMB/RDP遠端指令執行漏洞

2017年4月14日，國外黑客組織Shadow Brokers發出了NSA方程式組織的機密文檔，包含了多個Windows 遠端漏洞利用工具，該工具包可以可以覆寫全球70%的Windows伺服器，為了確定您在阿裡雲上的業務安全，請您關注，具體漏洞詳情如下:

漏洞編号:

暫無

漏洞名稱:

Windows系統多個SMB\RDP遠端指令執行漏洞官方評級: 高危 漏洞描述: 國外黑客組織Shadow Brokers發出了NSA方程式組織的機密文檔，包含了多個Windows 遠端漏洞利用工具，該工具包可以可以覆寫全球70%的Windows伺服器，可以利用SMB、RDP服務成功入侵伺服器。

漏洞利用條件和方式:

可以通過釋出的工具遠端代碼執行成功利用該漏洞。

漏洞影響範圍:

已知受影響的Windows版本包括但不限于：

Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0；

漏洞檢測:

确定伺服器對外開啟了137、139、445、3389端口，排查方式如下:外網計算機上telnet 目标位址445，例如：telnet 114.114.114.114 445

Telnet指令安裝:

<code>1. 打開“開始”---”運作” ，或者直接鍵盤 windows鍵+R 調出運作，輸入 appwiz.cpl (打開添加删除程式管理視窗）</code>

<code>2.出現的（程式和功能)菜單啦，點選“打開或關閉windows功能，同樣随後出現的“打開或關閉windows功能”清單裡面，找到“telnet用戶端”把前面的勾勾上，然後點選确定。</code>

漏洞修複建議(或緩解措施):

微軟已經發出通告 ，強烈建議您更新最新更新檔；

使用安全組公網入政策限制3389遠端登入源IP地

注:請您務必确認137、139、445端口使用情況，根據業務需求配置通路控制。

什麼是SMB服務？

SMB（Server Message Block）通信協定是微軟（Microsoft）和英特爾(Intel)在1987年制定的協定，主要是作為Microsoft網絡的通訊協定。SMB 是在會話層（session layer）和表示層（presentation layer）以及小部分應用層（application layer）的協定。SMB使用了NetBIOS的應用程式接口 （Application Program Interface，簡稱API）。SMB協定是基于TCP－NETBIOS下的，一般端口使用為139，445。

什麼是RDP服務？

遠端桌面連接配接元件是從Windows 2000 Server開始由微軟公司提供的，一般使用3389作為服務端口，當某台計算機開啟了遠端桌面連接配接功能後我們就可以在網絡的另一端控制這台計算機了，通過遠端桌面功能我們可以實時的操作這台計算機，在上面安裝軟體，運作程式，所有的一切都好像是直接在該計算機上操作一樣。但對外開放RDP協定端口存在着安全風險，例如:遭受黑客對伺服器賬号的暴力破解等，一旦破解成功，将控制伺服器，是以強烈建立您對windows伺服器進行加強 。