Windows远程命令执行0day高危漏洞预警

  4月14日,境外神秘黑客组织The ShadowBrokers泄露了一大批Windows漏洞以及漏洞利用工具,这些工具影响包括Windows NT,Windows 2000(没错,古董也沦陷)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0等操作系统,主要是利用了MS17-010、MS10-061、CVE-2017-0146等Windows漏洞,可通过135、137、445、3389等端口远程执行任意指令,获取系统最高管理权限,影响极大。


  所有虚拟主机、云建站、成品网站用户所在服务器我们的技术工程师已经进行了漏洞修补和端口封禁,客户无需任何操作。


  云服务器和独立服务器用户请注意以下几点:


  1.为了确保服务器安全,我们已经利用云服务器安全组功能对可林网络所有云服务器用户的Windows系统服务器135、137、139、445、3389端口进行封禁。如果您需要使用上述端口,请自行登录云服务器管理后台取消安全组部署,或自行定义安全组。


  2.Windows2008以上的服务器请马上升级最新补丁(修复漏洞前请先备份资料)。因Windows2003微软已经停止了技术支持,因此无法通过补丁方法修补漏洞,可通过3-5点进行防范。


  3.请在Windows服务中禁用Server服务。方法:点击开始-运行,输入services.msc,找到server服务后右击,选择停止,再选择属性,将启动类型改为禁用。


  4.请禁用TCP/IP上的NetBIOS,方法:点击开始-设置-网络和拨号连接-本地连接-TCP/IP属性-高级-WINS-选“禁用TCP/IT上的NETBIOS”。


  5.独立服务器无法批量操作,必须由用户自行登录到远程桌面后,利用系统防火墙封禁135、137、139、445端口。


  部署完毕后,您需要检查一下配置是否生效。本地CMD命令 netstat-an 命令查看端口监听情况,然后在外网主机 telnet 目标主机端口,检测封禁是否成功。


2017-04-18