关于SMB/RDP高危远程命令执行漏洞的问题,首先我们要先知道SMB和RDP是什么,才能进一步对这个漏洞进行了解。今天小凯seo博客和朋友们分享的主题就是关于这两个高危远程命令执行漏洞的问题,正文部分转载自百度安全指数官方网站。
什么是SMB服务?
SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application layer)的协议。SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API)。SMB协议是基于TCP-NETBIOS下的,一般端口使用为139,445。
什么是RDP服务?
远程桌面连接组件是从Windows 2000 Server开始由微软公司提供的,一般使用3389作为服务端口,当某台计算机开启了远程桌面连接功能后我们就可以在网络的另一端控制这台计算机了,通过远程桌面功能我们可以实时的操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。
但对外开放RDP协议端口存在着安全风险,例如:遭受黑客对服务器账号的暴力破解等,一旦破解成功,将控制服务器,因此强烈建立您对服务器进行加固。
漏洞描述
国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档,包含了多个Windows 远程漏洞利用工具,该工具包可以可以覆盖全球70%的Windows服务器,可以利用SMB、RDP服务成功入侵服务器。
影响版本
已知受影响的Windows版本包括但不限于: Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
漏洞等级:高危
修复建议
1、建议直接使用Windows Update更新最新补丁或手工下载以下补丁安装;
2、限制3389远程登录源IP地址;
3、使用百度云加速WAF防火墙进行防御;
4、添加网站至安全指数,及时了解网站组件突发/0day漏洞。
了解更多:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk