近日微軟發(fā)布了一則高危漏洞的通告。

漏洞名稱:

Windows系統(tǒng)多個SMB/RDP遠程命令執(zhí)行漏洞

官方評級:

高危

漏洞描述:

國外黑客組織Shadow Brokers發(fā)出了NSA方程式組織的機密文檔，包含了多個Windows 遠程漏洞利用工具，該工具包可以可以覆蓋全球70%的Windows服務器，可以利用SMB、RDP服務成功入侵服務器。

漏洞利用條件和方式:

可以通過發(fā)布的工具遠程代碼執(zhí)行成功利用該漏洞。

漏洞影響范圍:

已知受影響的Windows版本包括但不限于：

Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

針對以上高危漏洞，為了確保您的系統(tǒng)安全，防止對您的使用造成影響，強烈建議您更新最新補丁或手工下載補丁安裝。

1、Windows Update更新補丁方式：

更新方法：點擊“開始”->“控制面板”->“Windows Update” ，點擊“檢查更新”-“安裝更新”：

2、檢查安裝結(jié)果:

點擊“查看更新歷史記錄”，檢查安裝的補丁:

3、重啟系統(tǒng)生效

漏洞參考：

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

針對可能造成的危害快云制定了如下優(yōu)化方案

一、推薦根據(jù)您的實際使用情況關(guān)閉非必要服務

1>“開始”->”控制面板”->”所有控制面板項”->”網(wǎng)絡和共享中心” ->“更改適配器設置”->“本地連接”->“屬性”，關(guān)閉網(wǎng)絡的文件和打印機共享（此操作的目的是禁止445端口），如圖

  2>“開始”->”控制面板”->”所有控制面板項”->”網(wǎng)絡和共享中心” ->”更改適配器設置”->”本地連接”->”（TCP/IPV4）屬性”->”高級”->”WINS”，禁用netbios（此操作的目的是禁止137,139端口）如圖

3>”開始”->”運行”->輸入gpedit.msc依次打開->”計算機配置->”管理模塊windows組”->”智能卡”,關(guān)閉遠程智能卡（此操作避免rdp服務被攻擊利用），如圖

右鍵上面紅色方框，然后右鍵編輯 ，然后選擇已禁用

 二、目前我公司發(fā)現(xiàn)通過該漏洞系統(tǒng)被入侵后會植入病毒程序msinfo.exe，

現(xiàn)象1、c:\windows\system\msinfo.exe   文件是否存在,如圖

 現(xiàn)象2、通過遠程桌面查看右下角網(wǎng)卡狀態(tài)是否多了個紅叉.如圖

 現(xiàn)象3、“開始”->”控制面板”->”所有控制面板項”->”網(wǎng)絡和共享中心” 查看網(wǎng)卡狀態(tài)是否變成了未知.如圖

 現(xiàn)象4、開始-運行-輸入services.msc 在彈出的頁面查看xWinWpdSrv服務是否存在,如圖4

如果以上四種現(xiàn)象在您的系統(tǒng)中已出現(xiàn)：

我公司強烈建議立即清除異常文件并將該服務關(guān)閉禁用，為徹底解決該問題建議重做系統(tǒng)后更新系統(tǒng)補丁。

禁用服務方法：”開始”->”運行”->輸入services.msc->右鍵打開xWinWpdSrv服務屬性,將啟動類型修改為禁用，如圖