近日微軟發(fā)布了一則高危漏洞的通告。

漏洞名稱:

Windows系統(tǒng)多個(gè)SMB/RDP遠(yuǎn)程命令執(zhí)行漏洞

官方評(píng)級(jí):

高危

漏洞描述:

國(guó)外黑客組織Shadow Brokers發(fā)出了NSA方程式組織的機(jī)密文檔，包含了多個(gè)Windows 遠(yuǎn)程漏洞利用工具，該工具包可以可以覆蓋全球70%的Windows服務(wù)器，可以利用SMB、RDP服務(wù)成功入侵服務(wù)器。

漏洞利用條件和方式:

可以通過(guò)發(fā)布的工具遠(yuǎn)程代碼執(zhí)行成功利用該漏洞。

漏洞影響范圍:

已知受影響的Windows版本包括但不限于：

Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

針對(duì)以上高危漏洞，為了確保您的系統(tǒng)安全，防止對(duì)您的使用造成影響，強(qiáng)烈建議您更新最新補(bǔ)丁或手工下載補(bǔ)丁安裝。

1、Windows Update更新補(bǔ)丁方式：

更新方法：點(diǎn)擊“開(kāi)始”->“控制面板”->“Windows Update” ，點(diǎn)擊“檢查更新”-“安裝更新”：

2、檢查安裝結(jié)果:

點(diǎn)擊“查看更新歷史記錄”，檢查安裝的補(bǔ)丁:

3、重啟系統(tǒng)生效

漏洞參考：

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

針對(duì)可能造成的危害快云制定了如下優(yōu)化方案

一、推薦根據(jù)您的實(shí)際使用情況關(guān)閉非必要服務(wù)

1>“開(kāi)始”->”控制面板”->”所有控制面板項(xiàng)”->”網(wǎng)絡(luò)和共享中心” ->“更改適配器設(shè)置”->“本地連接”->“屬性”，關(guān)閉網(wǎng)絡(luò)的文件和打印機(jī)共享（此操作的目的是禁止445端口），如圖

  2>“開(kāi)始”->”控制面板”->”所有控制面板項(xiàng)”->”網(wǎng)絡(luò)和共享中心” ->”更改適配器設(shè)置”->”本地連接”->”（TCP/IPV4）屬性”->”高級(jí)”->”WINS”，禁用netbios（此操作的目的是禁止137,139端口）如圖

3>”開(kāi)始”->”運(yùn)行”->輸入gpedit.msc依次打開(kāi)->”計(jì)算機(jī)配置->”管理模塊windows組”->”智能卡”,關(guān)閉遠(yuǎn)程智能卡（此操作避免rdp服務(wù)被攻擊利用），如圖

右鍵上面紅色方框，然后右鍵編輯 ，然后選擇已禁用

 二、目前我公司發(fā)現(xiàn)通過(guò)該漏洞系統(tǒng)被入侵后會(huì)植入病毒程序msinfo.exe，

現(xiàn)象1、c:\windows\system\msinfo.exe   文件是否存在,如圖

 現(xiàn)象2、通過(guò)遠(yuǎn)程桌面查看右下角網(wǎng)卡狀態(tài)是否多了個(gè)紅叉.如圖

 現(xiàn)象3、“開(kāi)始”->”控制面板”->”所有控制面板項(xiàng)”->”網(wǎng)絡(luò)和共享中心” 查看網(wǎng)卡狀態(tài)是否變成了未知.如圖

 現(xiàn)象4、開(kāi)始-運(yùn)行-輸入services.msc 在彈出的頁(yè)面查看xWinWpdSrv服務(wù)是否存在,如圖4

如果以上四種現(xiàn)象在您的系統(tǒng)中已出現(xiàn)：

我公司強(qiáng)烈建議立即清除異常文件并將該服務(wù)關(guān)閉禁用，為徹底解決該問(wèn)題建議重做系統(tǒng)后更新系統(tǒng)補(bǔ)丁。

禁用服務(wù)方法：”開(kāi)始”->”運(yùn)行”->輸入services.msc->右鍵打開(kāi)xWinWpdSrv服務(wù)屬性,將啟動(dòng)類型修改為禁用，如圖