请选择 进入手机版 | 继续访问电脑版

硅云开发者社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 7930|回复: 0

[安全参考] 高危Windows系统 SMB/RDP远程命令执行漏洞

[复制链接]

217

主题

553

帖子

3414

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
3414

荣誉管理论坛元老管理员知名站长

QQ
发表于 2017-5-13 21:12:09 | 显示全部楼层 |阅读模式
近日微软发布了一则高危漏洞的通告。
漏洞名称:
Windows系统多个SMB/RDP远程命令执行漏洞
官方评级:
高危
漏洞描述:
国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,可以利用SMB、RDP服务成功入侵服务器。
漏洞利用条件和方式:
可以通过发布的工具远程代码执行成功利用该漏洞。
漏洞影响范围:
已知受影响的Windows版本包括但不限于:
Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

针对以上高危漏洞,为了确保您的系统安全,防止对您的使用造成影响,强烈建议您更新最新补丁或手工下载补丁安装。
1、Windows Update更新补丁方式:
更新方法:点击“开始”->“控制面板”->“Windows Update” ,点击“检查更新”-“安装更新”:

1.png



2、检查安装结果:
点击“查看更新历史记录”,检查安装的补丁:
3、重启系统生效
漏洞参考:微软官方漏洞参考


针对可能造成的云主机制定了如下优化方案
一、推荐根据您的实际使用情况关闭非必要服务
1>“开始”->”控制面板”->”所有控制面板项”->”网络和共享中心” ->“更改适配器设置”->“本地连接”->“属性”,关闭网络的文件和打印机共享(此操作的目的是禁止445端口),如图

2.png


2>“开始”->”控制面板”->”所有控制面板项”->”网络和共享中心” ->”更改适配器设置”->”本地连接”->”(TCP/IPV4)属性”->”高级”->”WINS”,禁用netbios(此操作的目的是禁止137,139端口)如图

3.png

3>”开始”->”运行”->输入gpedit.msc依次打开->”计算机配置->”管理模块windows组”->”智能卡”,关闭远程智能卡(此操作避免rdp服务被攻击利用),如图

4.png

二、目前我公司发现通过该漏洞系统被入侵后会植入病毒程序msinfo.exe,
现象1、c:\windows\system\msinfo.exe   文件是否存在,如图

5.png

现象2、通过远程桌面查看右下角网卡状态是否多了个红叉.如图

6.png

现象3、“开始”->”控制面板”->”所有控制面板项”->”网络和共享中心” 查看网卡状态是否变成了未知.如图

7.png


现象4、开始-运行-输入services.msc 在弹出的页面查看xWinWpdSrv服务是否存在,如图4


8.png


如果以上四种现象在您的系统中已出现:
我公司强烈建议立即清除异常文件并将该服务关闭禁用,为彻底解决该问题建议重做系统后更新系统补丁。
禁用服务方法:”开始”->”运行”->输入services.msc->右键打开xWinWpdSrv服务属性,将启动类型修改为禁用,如图

9.png

以上为目前我公司提供的参考解决方案,需要您根据自身业务开展整改工作,我公司也会对该漏洞持续跟进关注,相关信息会及时进行更新通告。


百家云产品团队

2017年5月



硅云,走近计算,走进未来!
关闭

硅云论坛上一条 /1 下一条

QQ|云虚拟主机|云服务器|域名注册|关进小黑屋|硅云开发者社区

GMT+8, 2024-3-29 16:19 , Processed in 0.200546 second(s), 29 queries .

Powered by Discuz! X3.4

Copyright © 2016-2020, 硅云论坛.

快速回复 返回顶部 返回列表