您現(xiàn)在的位置:首頁(yè) >關(guān)于我們 >本站通知 >關(guān)于操作系統(tǒng)漏洞安全預(yù)警通知

關(guān)于操作系統(tǒng)漏洞安全預(yù)警通知

【安全預(yù)警】關(guān)于方程式組織黑客工具包再曝光通知

關(guān)于方程式組織黑客工具包再曝光(包含多個(gè)Windows 0day利用工具)預(yù)警通知

尊敬的客戶:

您好,20174月15日,國(guó)外黑客組織Shadow Brokers泄露出了一份機(jī)密文檔,其中包含了多個(gè)Windows 0Day遠(yuǎn)程漏洞利用工具,外部攻擊者利用此工具可遠(yuǎn)程攻擊并獲取服務(wù)器控制權(quán)限,該漏洞影響極大。目前大量windows服務(wù)操作系統(tǒng)版本均在受影響之列,此次風(fēng)險(xiǎn)描述如下: 

受影響系統(tǒng)

Windows NT

Windows 2000

Windows XP

Windows 2003

Windows Vista

Windows 7

Windows 8

Windows 2008

Windows 2008 R2

Windows Server 2012 SP0


【風(fēng)險(xiǎn)等級(jí)】
高風(fēng)險(xiǎn)
【漏洞風(fēng)險(xiǎn)】
黑客可以通過(guò)發(fā)布的工具遠(yuǎn)程攻擊服務(wù)器。
【影響服務(wù)】
主要影響SMB和RDP服務(wù)
【漏洞驗(yàn)證】確定服務(wù)器是否對(duì)外開(kāi)啟了137、139、445端口測(cè)試方法:服務(wù)器命令行窗口執(zhí)行netstat -an查看是否有相應(yīng)對(duì)口開(kāi)放,同時(shí)亦可以通過(guò)訪問(wèn)http://tool.chinaz.com/port/(輸入IP,下面填入137,139,445,3389)判斷服務(wù)端口是否對(duì)外開(kāi)啟。注意:rdp是遠(yuǎn)程桌面服務(wù),不局限于3389端口,如果您的windows遠(yuǎn)程桌面使用了其他端口,也在受影響之列。 

為保證您服務(wù)器安全,請(qǐng)您務(wù)必及時(shí)關(guān)注該漏洞并開(kāi)展相應(yīng)的安全整改措施,【漏洞修復(fù)建議】如下:


1、推薦方案:更新官方補(bǔ)丁

截至目前,方程式組織所使用的大部分漏洞均官方均已發(fā)布相關(guān)補(bǔ)丁,強(qiáng)烈建議您更新相關(guān)補(bǔ)丁。攻擊工具所對(duì)應(yīng)的補(bǔ)丁列表如下:

工具名稱(chēng)

解決措施

“EternalBlue”

Addressed by MS17-010

“EmeraldThread”

Addressed by MS10-061

“EternalChampion”

Addressed by CVE-2017-0146 & CVE-2017-0147

“ErraticGopher”

Addressed priorto the release of Windows Vista

“EsikmoRoll”

Addressed by MS14-068

“EternalRomance”

Addressed by MS17-010

“EducatedScholar”

Addressed by MS09-050

“EternalSynergy”

Addressed by MS17-010

“EclipsedWing”

Addressed by MS08-067

 

2、臨時(shí)解決方案,

若您的服務(wù)器暫時(shí)不方便更新補(bǔ)丁,海騰數(shù)據(jù)推薦的臨時(shí)解決方案如下:(兩種方案):


1)為了保證系統(tǒng)的安全性,我們建議您關(guān)閉服務(wù)器的TCP協(xié)議下 137、139、445端口全部入網(wǎng)規(guī)則】、【UDP協(xié)議下137、445端口全部入網(wǎng)規(guī)則】,另外限制遠(yuǎn)程登錄源IP地址,一般端口默認(rèn)為:3389。 


2) 針對(duì)windows2008版本及以上的系統(tǒng)可以臨時(shí)關(guān)閉相應(yīng)服務(wù)操作步驟如下:


a:修復(fù)操作如下:禁止windows共享,卸載以下兩個(gè)組件此操作的目的是禁止445端口

在網(wǎng)卡屬性中,卸載 Microsoft網(wǎng)絡(luò)客戶端,卸載Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享兩個(gè)組件。
(實(shí)施完畢后,需要重啟系統(tǒng)生效,操作前請(qǐng)您根據(jù)對(duì)業(yè)務(wù)的影響情況進(jìn)行評(píng)估)

b:禁止netbios此操作的目的是禁止137,139端口
重啟后我們看到137,139,445端口全部關(guān)閉。

c:關(guān)閉遠(yuǎn)程智能卡此操作的目的是關(guān)閉windows智能卡功能,避免rdp服務(wù)被攻擊利用

 

以上操作可以聯(lián)系我們運(yùn)維工程師協(xié)助操作。海騰數(shù)據(jù)全體員工感謝您長(zhǎng)期以來(lái)對(duì)我們的關(guān)注和支持,我們將一如既往的為您提供穩(wěn)定、優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。

 

河南海騰電子技術(shù)有限公司

2017年4月28日

Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有   經(jīng)營(yíng)性ICP/ISP證 備案號(hào):B1-20180452   豫公網(wǎng)安備 41019702002018號(hào)    電子營(yíng)業(yè)執(zhí)照