windows系統高危漏洞:
2017年4月14日,國外***組織Shadow Brokers泄露出了一份機密文檔,其中包含了多個Windows遠程漏洞利用工具,外部***者利用此工具可遠程***並獲取服務器控制權限。微軟已於2017年4月15日發佈修復補丁。
風險等級——高風險
漏洞級別——緊急
影響服務——SMB和RDP服務
漏洞驗證——確定服務器是否對外開啓了137、139、445端口
測試方法
服務器命令行窗口執行netstat -an查看是否有相應對口開放,同時亦可以通過訪問http://tool.chinaz.com/port/(輸入IP,下面填入137,139,445,3389)判斷服務端口是否對外開啓。注意:rdp是遠程桌面服務,不侷限於3389端口,如果您的windows遠程桌面使用了其他端口,也在受影響之列。
已知受影響的 Windows 版本
Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0
針對這些問題,藍隊雲給了相應的漏洞修復建議。
1、更新官方補丁
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
2、臨時解決方案
i. 禁止windows共享(445端口),卸載下圖兩個組件。需要重啓系統生效,操作前請您根據對業務的影響情況進行評估。
ii. 禁用netbios(137、139端口)
iii. 關閉遠程智能卡(此操作的目的是關閉windows智能卡功能,避免rdp服務被***利用)
藍隊雲windows系列雲服務器默認已關閉遠程智能卡服務。
iv. 開啓系統防火牆,僅放行必須的端口,屏蔽135、137、139、445端口對外開放。
注意:修復漏洞前請最好備份,並進行充分測試。
關於Apache Struts2存在S2-045遠程代碼執行漏洞的安全公告
一、漏洞情況分析
Struts2是第二代基於Model-View-Controller(MVC)模型的java企業級web應用框架,併成爲當時國內外較爲流行的容器軟件中間件。jakarta是apache組織下的一套Java解決方案的開源軟件的名稱,包括很多子項目。Struts就是jakarta的緊密關聯項目。
根據CNVD技術組成員單位——杭州安恆信息技術有限公司提供的分析情況,基於Jakarta Multipart parser的文件上傳模塊在處理文件上傳(multipart)的請求時候對異常信息做了捕獲,並對異常信息做了OGNL表達式處理。但在在判斷content-type不正確的時候會拋出異常並且帶上Content-Type屬性值,可通過精心構造附帶OGNL表達的URL導致遠程代碼執行。
CNVD對漏洞的綜合評級均爲“高危”。由於struts 2.3.5之前的版本存在S2-016漏洞,因此有較多升級後的Apache struts2的版本爲2.3.5及以上版本,極有可能受到漏洞的影響。
二、漏洞影響範圍
受漏洞影響的版本爲:Struts2.3.5-Struts2.3.31, Struts2.5-Struts2.5.10。截至2017年3月7日13時,互聯網上已經公開了漏洞的***利用代碼,同時已有安全研究者通過CNVD網站、補天平臺提交了多個受漏洞影響的省部級黨政機關、金融、能源、電信等行業單位以及知名企業門戶網站案例。根據CNVD祕書處抽樣測試結果,互聯網上採用Apache Struts 2框架的網站(不區分Struts版本,樣本集>500,覆蓋政府、高校、企業)受影響比例爲60.1%。
三、漏洞處置建議
Apache Struts官方已在發佈的新的版本中修復了該漏洞。建議使用Jakarta Multipart parser模塊的用戶升級到Apache Struts版本2.3.32或2.5.10.1。除了升級struts版本外,爲有效防護漏洞***,建議用戶採取主動檢測、網絡側防護的方法防範******:
(一)無害化檢測方法(該檢測方法由安恆公司提供)
在向服務器發出的http請求報文中,修改Content-Type字段:
Content-Type: %{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('vul','vul')}.multipart/form-data,如返回response報文中存在vul:vul字段項則表明存在漏洞。
(二)網絡側防護技術措施
建議在網絡防護設備上配置過濾包含如下
#nike='multipart/form-data' 以及
#container=#context['com.opensymphony.xwork2.ActionContext.container' 字段串(及相關字符轉義形式)的URL請求。
CNCERT/CNVD已着手組織國內安全企業協同開展相關檢測和***監測相關工作,後續將再次彙總處置工作情況。