SMB 远程代码执行漏洞

4月,方程式组织泄露三个文件夹的数据

image.png

其中windows目录下是一些针对windows系统的一些攻击工具和漏洞利用程序。本次“永恒之蓝”攻击程序就是在此文件夹中的一个攻击程序。“永恒之蓝”在此文件夹中的名字叫ETERNALBLUE。

“永恒之蓝”攻击程序利用的是Windows SMB远程提权漏洞,可以攻击开放了445 端口的 Windows 系统并提升至系统权限。

Microsoft 服务器消息块 (SMB) 协议是 Microsoft Windows 中使用的一项 Microsoft 网络文件共享协议。在大部分 windows 系统中都是默认开启的,用于在计算机间共享文件、打印机等。

445端口是一种TCP端口,该端口在windows Server系统中提供局域网中文件或打印机共享服务,攻击者与445端口建立请求连接,能够获得指定局域网内的各种共享信息

解决方案

1、升级针对MS17-010的微软的漏洞补丁,可以采用自动更新或下载更新补丁的方法,补丁更新地址如下:

Windows Vista、Windows Server 2008

http://www.catalog.update.microsoft.com/search.aspx?q=4012598

Windows 7、Windows Server 2008 R2

http://www.catalog.update.microsoft.com/search.aspx?q=4012212

Windows 8.1、Windows Server 2012 R2

http://www.catalog.update.microsoft.com/search.aspx?q=4012213

Windows RT 8.1

http://www.catalog.update.microsoft.com/search.aspx?q=4012216

Windows Server 2012

http://www.catalog.update.microsoft.com/search.aspx?q=4012214

2、针对微软不提供补丁支持的操作系统,Windows XP和Windows 2003,可以禁止使用smb服务的445端口,禁用方法:

https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

3、深信服防火墙早在一个月前就已发布针对微软SMB漏洞的攻击防护,用户可升级到20170415及其以上版本即可防御此漏洞的攻击。

4、深信服智安全倾情奉献实用解决方案,参考链接:http://sec.sangfor.com.cn/events/89.html