【漏洞公告】高危Windows系统 SMB/RDP远程命令执行漏洞

近日微软发布了一则高危漏洞的通告。

漏洞名称:

Windows系统多个SMB/RDP远程命令执行漏洞

官方评级:

高危

漏洞描述:

国外黑客组织Shadow Brokers发出了NSA方程式组织的机密文档，包含了多个Windows 远程漏洞利用工具，该工具包可以可以覆盖全球70%的Windows服务器，可以利用SMB、RDP服务成功入侵服务器。

漏洞利用条件和方式:

可以通过发布的工具远程代码执行成功利用该漏洞。

漏洞影响范围:

已知受影响的Windows版本包括但不限于：

Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

针对以上高危漏洞，为了确保您的系统安全，防止对您的使用造成影响，强烈建议您更新最新补丁或手工下载补丁安装。

1、Windows Update更新补丁方式：

更新方法：点击“开始”->“控制面板”->“Windows Update” ，点击“检查更新”-“安装更新”：

2、检查安装结果:

点击“查看更新历史记录”，检查安装的补丁:

3、重启系统生效

漏洞参考：

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

针对可能造成的危害快云制定了如下优化方案

一、推荐根据您的实际使用情况关闭非必要服务

1>“开始”->”控制面板”->”所有控制面板项”->”网络和共享中心” ->“更改适配器设置”->“本地连接”->“属性”，关闭网络的文件和打印机共享（此操作的目的是禁止445端口），如图

2>“开始”->”控制面板”->”所有控制面板项”->”网络和共享中心” ->”更改适配器设置”->”本地连接”->”（TCP/IPV4）属性”->”高级”->”WINS”，禁用netbios（此操作的目的是禁止137,139端口）如图

3>”开始”->”运行”->输入gpedit.msc依次打开->”计算机配置->”管理模块windows组”->”智能卡”,关闭远程智能卡（此操作避免rdp服务被攻击利用），如图

二、目前我公司发现通过该漏洞系统被入侵后会植入病毒程序msinfo.exe，

现象1、c:windowssystemmsinfo.exe文件是否存在,如图

现象2、通过远程桌面查看右下角网卡状态是否多了个红叉.如图

现象3、“开始”->”控制面板”->”所有控制面板项”->”网络和共享中心” 查看网卡状态是否变成了未知.如图

现象4、开始-运行-输入services.msc 在弹出的页面查看xWinWpdSrv服务是否存在,如图4

如果以上四种现象在您的系统中已出现：

我公司强烈建议立即清除异常文件并将该服务关闭禁用，为彻底解决该问题建议重做系统后更新系统补丁。

禁用服务方法：”开始”->”运行”->输入services.msc->右键打开xWinWpdSrv服务属性,将启动类型修改为禁用，如图

以上为目前我公司提供的参考解决方案，需要您根据自身业务开展整改工作，我公司也会对该漏洞持续跟进关注，相关信息会及时进行更新通告。