欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
快捷导航
搜索
查看: 31295|回复: 35

[安全通知] 【安全预警】关于方程式组织黑客工具包再曝光通知

[复制链接]

219

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
33930
威望
13983
发表于 2017-4-15 16:24:59 |显示全部楼层
关于方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)预警通知

尊敬的腾讯云客户:
您好,
2017年4月15日,国外黑客组织Shadow Brokers泄露出了一份机密文档,其中包含了多个Windows 0Day远程漏洞利用工具外部攻击者利用此工具可远程攻击并获取服务器控制权限,该漏洞影响极大


目前已知受影响的Windows版本包括但不限于(目前大量windows服务操作系统版本均在受影响之列)
Windows NT
Windows 2000
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows 8
Windows 2008
Windows 2008 R2
Windows Server 2012 SP0

为保证您在腾讯云上的业务安全,请您务必及时关注该漏洞并开展相应的安全整改措施,此次风险描述及修复方案如下:

【风险等级】
  高风险

【漏洞风险】
  黑客可以通过发布的工具远程攻击服务器。

【影响服务】
  主要影响SMB和RDP服务

【漏洞验证】
确定服务器是否对外开启了137、139、445端口
测试方法:服务器命令行窗口执行netstat -an查看是否有相应对口开放,同时亦可以通过访问http://tool.chinaz.com/port/(输入IP,下面填入137,139,445,3389)判断服务端口是否对外开启。注意:rdp是远程桌面服务,不局限于3389端口,如果您的windows远程桌面使用了其他端口,也在受影响之列。

【漏洞修复建议】
1、推荐方案:更新官方补丁
截至目前,方程式组织所使用的大部分漏洞均官方均已发布相关补丁,强烈建议您更新相关补丁。攻击工具所对应的补丁列表如下:
工具名称解决措施
“EternalBlue”Addressed by MS17-010
“EmeraldThread”Addressed by MS10-061
EternalChampionAddressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher”Addressed prior  to the release of Windows Vista
“EsikmoRoll”Addressed by MS14-068
“EternalRomance”Addressed by MS17-010
“EducatedScholar”Addressed by MS09-050
“EternalSynergy”Addressed by MS17-010
“EclipsedWing”Addressed by MS08-067

若您的服务器暂时不方便更新补丁,腾讯云推荐的临时解决方案如下:

2、临时解决方案(两种方案):
4月19日更新方案 1)
1)为了保证系统的安全性,我们建议您关闭安全组的【TCP协议下 137、139、445端口全部入网规则】、【UDP协议下137、445端口全部入网规则】,另外限制远程登录源IP地址,一般端口默认为:3389。
目前腾讯云控制台发布了此漏洞的一键规避工具,如果您业务上没有使用137、139、445端口,可登录【CVM控制台】-【安全组】-【编辑规则】使用工具一键规避此漏洞风险。
11.png

22.png


2) 针对windows2008版本及以上的系统可以临时关闭相应服务操作步骤如下:
a:未修复之前截图如下:
3333.png


b:修复操作如下:禁止windows共享,卸载下图两个组件此操作的目的是禁止445端口
4444.png

(实施完毕后,需要重启系统生效,操作前请您根据对业务的影响情况进行评估)

c:禁止netbios此操作的目的是禁止137,139端口
5555.png

重启后我们看到137,139,445端口全部关闭。
6666.png


d:关闭远程智能卡此操作的目的是关闭windows智能卡功能,避免rdp服务被攻击利用
77777.png



【漏洞参考】

如上为目前腾讯云参考解决方案,具体需要您根据自身业务进行对照检查并开展整改工作,腾讯云也会对该漏洞持续跟进关注,相关信息BBS论坛进行更新通告。  


历史记录(方案更新):
1) 利用腾讯云安全组配置安全防护规则,操作如下:
下图为利用安全组限制可以远程访问的3389端口的源IP。
111.png

下图为利用安全组禁用137,139,445端口。
222.png

2017/4/15

16

主题

1

好友

461

积分

程序猿[LV2]

Rank: 2Rank: 2

云币
1544
威望
461
发表于 2017-4-17 08:27:12 |显示全部楼层
美国国家安全局(NSA)的黑客工具
回复

使用道具 举报

2

主题

0

好友

260

积分

小白[LV1]

Rank: 1

云币
840
威望
260
发表于 2017-4-17 09:23:28 |显示全部楼层
到底是 135 /137 /445 /3389 还是,137、139、445、3389?怎么跟我们企业内部公告的不一样?
回复

使用道具 举报

10

主题

0

好友

8485

积分

版主

Rank: 7Rank: 7Rank: 7Rank: 7

云币
21655
威望
8485
发表于 2017-4-17 11:22:39 |显示全部楼层
对于公网IP不固定的计算机是不是就没法限制“远程访问的3389端口的源IP”了呢?

点评

dianmo  防火墙  发表于 2017-4-18 13:47
回复

使用道具 举报

3

主题

1

好友

2613

积分

攻城师[LV3]

Rank: 3Rank: 3Rank: 3

云币
10787
威望
2613
发表于 2017-4-19 10:49:04 |显示全部楼层
shengbao 发表于 2017-4-17 09:23
到底是 135 /137 /445 /3389 还是,137、139、445、3389?怎么跟我们企业内部公告的不一样? ...

是137、139、445、3389,你们企业内部可能搞错了。
可以参考知乎一片文章:https://zhuanlan.zhihu.com/p/26375989
回复

使用道具 举报

0

主题

0

好友

20

积分

小白[LV1]

Rank: 1

云币
70
威望
20
发表于 2017-5-3 09:11:01 |显示全部楼层
腾讯云工程师截图水平太次,后面几张图小的得使用放大镜。

这不是好的服务,攻城师!!!!
回复

使用道具 举报

0

主题

0

好友

50

积分

小白[LV1]

Rank: 1

云币
220
威望
50
发表于 2017-5-3 09:56:02 |显示全部楼层
其实 有的服务器不是这样的问题 自己下载一个 360杀毒查杀一下就可以了 我的就是这个毛病
回复

使用道具 举报

0

主题

0

好友

148

积分

小白[LV1]

Rank: 1

云币
532
威望
148
发表于 2017-5-3 10:04:20 |显示全部楼层
啥时候出个腾讯云服务器管家呢
回复

使用道具 举报

0

主题

0

好友

190

积分

小白[LV1]

Rank: 1

云币
390
威望
190
发表于 2017-5-3 15:35:51 |显示全部楼层


啥时候出个腾讯云服务器管家呢
回复

使用道具 举报

2

主题

0

好友

140

积分

小白[LV1]

Rank: 1

云币
310
威望
140
发表于 2017-5-3 19:44:16 |显示全部楼层
腾讯云服务器管家这个可以有,
针对这个漏洞,能整有一个补丁包不?
回复

使用道具 举报

2

主题

0

好友

265

积分

小白[LV1]

Rank: 1

云币
785
威望
265
发表于 2017-5-3 19:54:24 |显示全部楼层
已被入侵
回复

使用道具 举报

15

主题

0

好友

870

积分

程序猿[LV2]

Rank: 2Rank: 2

云币
1600
威望
870
发表于 2017-5-3 23:50:47 |显示全部楼层
  1. 1)为了保证系统的安全性,我们建议您关闭安全组的【TCP协议下 137、139、445端口全部入网规则】、【UDP协议下137、445端口全部入网规则】,另外限制远程登录源IP地址,一般端口默认为:3389。
  2. 目前腾讯云控制台发布了此漏洞的一键规避工具,如果您业务上没有使用137、139、445端口,可登录【CVM控制台】-【安全组】-【编辑规则】使用工具一键规避此漏洞风险。
复制代码
加了这个后,远程登陆就很难登陆上了。3389又没有限。怎么会这样

点评

pdm  端口封堵是临时方案,解决该问题的根本方案是升级补丁 您可以升级补丁后,在放开这些端口的限制~  详情 回复 发表于 2017-5-4 11:25
回复

使用道具 举报

1

主题

0

好友

27

积分

小白[LV1]

Rank: 1

云币
101
威望
27
发表于 2017-5-4 11:04:28 |显示全部楼层
larryliu 发表于 2017-5-3 09:11
腾讯云工程师截图水平太次,后面几张图小的得使用放大镜。

这不是好的服务,攻城师!!!! ...

同意 太弱了  提个问题 就知道 叫人家 重启服务器 或者 重装系统
回复

使用道具 举报

5

主题

0

好友

2933

积分

腾讯云产品经理

Rank: 10Rank: 10Rank: 10Rank: 10

云币
8433
威望
2933
发表于 2017-5-4 11:25:32 |显示全部楼层
szbay 发表于 2017-5-3 23:50
加了这个后,远程登陆就很难登陆上了。3389又没有限。怎么会这样

端口封堵是临时方案,解决该问题的根本方案是升级补丁
您可以升级补丁后,再放开这些端口的限制~
回复

使用道具 举报

0

主题

0

好友

40

积分

小白[LV1]

Rank: 1

云币
170
威望
40
发表于 2017-5-4 15:59:28 |显示全部楼层
这个补丁要安装哪个,我的系统是windows 2008 R2。还是所有的补丁都需要安装。在线等,急!!!
回复

使用道具 举报

1

主题

0

好友

180

积分

小白[LV1]

Rank: 1

云币
600
威望
180
发表于 2017-5-4 16:47:50 |显示全部楼层
pdm 发表于 2017-5-4 11:25
端口封堵是临时方案,解决该问题的根本方案是升级补丁
您可以升级补丁后,再放开这些端口的限制~ ...

升级补丁  什么时候出呢
回复

使用道具 举报

1

主题

0

好友

180

积分

小白[LV1]

Rank: 1

云币
600
威望
180
发表于 2017-5-4 16:48:50 |显示全部楼层
pdm 发表于 2017-5-4 11:25
端口封堵是临时方案,解决该问题的根本方案是升级补丁
您可以升级补丁后,再放开这些端口的限制~ ...

有个更新包就好了
回复

使用道具 举报

1

主题

0

好友

180

积分

小白[LV1]

Rank: 1

云币
600
威望
180
发表于 2017-5-4 20:33:29 |显示全部楼层
baniu2018 发表于 2017-5-3 19:54
已被入侵

同被害,,按流量付费主机 直接干欠费,,告警也不通知手机
回复

使用道具 举报

73

主题

9

好友

7542

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
54071
威望
7542
发表于 2017-5-4 20:34:01 |显示全部楼层
baniu2018 发表于 2017-5-3 19:54
已被入侵

已经中招了的,直接备份数据用镜像重装就可以了。镜像的版本已经做过补丁了
回复

使用道具 举报

0

主题

0

好友

100

积分

小白[LV1]

Rank: 1

云币
470
威望
100
发表于 2017-5-4 20:55:45 |显示全部楼层
zerotliu 发表于 2017-5-4 20:34
已经中招了的,直接备份数据用镜像重装就可以了。镜像的版本已经做过补丁了 ...

我是中招了,流量计费,被搞死了,也没有解决掉,
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2020-7-5 22:37 , Processed in 1.120826 second(s), 35 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部