|
Prezados usuários do Alibaba Cloud,
Em 14 de abril de 2017, o grupo estrangeiro de hackers Shadow Brokers emitiu um documento confidencial da organização NSA Equation, que contém múltiplas ferramentas remotas de exploração do Windows, capazes de cobrir 70% dos servidores Windows do mundo e levar à invasão de servidores.
Um. Alcance do Impacto:
Versões conhecidas do Windows afetadas incluem, mas não se limitam a:
Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0;
Dois. Método de investigação As ferramentas expostas desta vez usam serviços SMB e RDP para invadir remotamente, e é necessário confirmar se o servidor abriu as portas 137, 139, 445 e 3389.
O método de solução de problemas é o seguinte: O endereço de destino da telnet 445 no computador da rede pública, por exemplo: telnet [IP] 445
Três. Medidas de mitigação
1. A Microsoft enviouAviso, é altamente recomendado que você atualize o patch mais recente;
Nome da Ferramenta | Solução | "EternalBlue" | Dirigido porMS17-010 | "FioEsmeralda" | Dirigido porMS10-061 | "Campeão Eterno" | Dirigido porCVE-2017-0146&CVE-2017-0147 | "ErraticGopher" | Resolvido antes do lançamento do Windows Vista | "EsikmoRoll" | Dirigido porMS14-068 | "Romance Eterno" | Dirigido porMS17-010 | "EducadoAcadêmico" | Dirigido porMS09-050 | "Sinergia Eterna" | Dirigido porMS17-010 | "EclipsedWing" | Dirigido porMS08-067 |
2. Atualmente, o console Alibaba Cloud também lançou uma ferramenta de contorno com um clique para essa vulnerabilidade; se você não usar as portas 137, 139 ou 445 na sua empresa, pode acessar [ECS console] - [Security Group Management] - [Rule Configuration] para usar a ferramenta e contornar esse risco de vulnerabilidade com um clique.
3. Use a política de acesso público à rede do grupo de segurança para restringir o endereço IP de origem remota do login 3389.
Solução de Reparo em Nuvem Alibaba:
| 
Publicado em 16/04/2017 11:46:00
|
|
|
|
