源:經(jīng)濟日報-中國經(jīng)濟網(wǎng)
北京時間3月12日晚,微軟發(fā)布安全公告披露了一個最新的SMB遠程代碼執(zhí)行漏洞(CVE-2020-0796),攻擊者利用該漏洞無須權限即可實現(xiàn)遠程代碼執(zhí)行,一旦被成功利用,其危害不亞于永恒之藍,全球10萬臺服務器或成首輪攻擊目標。
SMB(Server Message Block)協(xié)議作為一種局域網(wǎng)文件共享傳輸協(xié)議,常被用來作為共享文件安全傳輸研究的平臺。由于SMB 3.1.1協(xié)議中處理壓縮消息時,對其中數(shù)據(jù)沒有經(jīng)過安全檢查,直接使用會引發(fā)內(nèi)存破壞漏洞,可能被攻擊者利用遠程執(zhí)行任意代碼,受黑客攻擊的目標系統(tǒng)只要開機在線即可能被入侵。據(jù)了解,凡政府機構(gòu)、企事業(yè)單位網(wǎng)絡中采用Windows 10 1903之后的所有終端節(jié)點,如Windows家用版、專業(yè)版、企業(yè)版、教育版,Windows 10 1903 (19H1)、Windows 10 1909、 Windows Server 19H1均為潛在攻擊目標,Windows 7不受影響。
根據(jù)騰訊安全網(wǎng)絡資產(chǎn)風險檢測系統(tǒng)提供的數(shù)據(jù),目前全球范圍可能存在漏洞的SMB服務總量約10萬臺,直接暴露在公網(wǎng),可能成為漏洞攻擊的首輪目標。海外安全機構(gòu)為這個漏洞起了多個代號,如SMBGhost、EternalDarkness(“永恒之黑”),可見其危害之大。
騰訊安全專家介紹,SMB遠程代碼執(zhí)行漏洞與“永恒之藍”系列漏洞極為相似,都是利用Windows SMB漏洞遠程攻擊獲取系統(tǒng)最高權限,黑客一旦潛入,可利用針對性的漏洞攻擊工具在內(nèi)網(wǎng)擴散,綜合風險不亞于永恒之藍,政企用戶應高度重視、謹慎防護。
除了直接攻擊SMB服務端造成遠程代碼執(zhí)行(RCE)外,“永恒之黑”漏洞的亮點在于對SMB客戶端的攻擊,攻擊者可以通過構(gòu)造一個“特制”的網(wǎng)頁、壓縮包、共享目錄、OFFICE文檔等,向攻擊目標發(fā)送,一旦被攻擊者打開則瞬間觸發(fā)漏洞受到攻擊。
針對該漏洞,騰訊安全已在第一時間啟動應急響應,并為企業(yè)用戶提供全套解決方案。在“永恒之黑”意外被海外安全廠商披露后,騰訊安全威脅情報中心基于威脅情報數(shù)據(jù)庫及智能化分析系統(tǒng),第一時間對該漏洞的影響范圍、利用手法進行分析,并實時進行安全態(tài)勢感知,為企業(yè)用戶提供主動的安全響應服務。
騰訊安全專家建議政企用戶及時更新Windows完成補丁安裝,防范可能存在的入侵風險。同時,騰訊安全目前已啟動應急響應方案,率先推出了SMB遠程代碼執(zhí)行漏洞掃描工具。政企用戶只需登錄網(wǎng)址(https://pc1.gtimg.com/softmgr/files/20200796.docx)下載并填寫《獲取SMB遠程代碼執(zhí)行漏洞掃描工具申請書》,發(fā)送至郵箱es@tencent.com獲取授權后,即可使用該工具遠程檢測全網(wǎng)終端安全漏洞。
騰訊安全終端安全管理系統(tǒng)也已實現(xiàn)升級,企業(yè)網(wǎng)管可采用全網(wǎng)漏洞掃描修復功能,全網(wǎng)統(tǒng)一掃描、安裝KB4551762補丁,攔截病毒木馬等利用該漏洞的攻擊。
騰訊安全終端安全管理系統(tǒng)攔截漏洞攻擊
此外,騰訊安全網(wǎng)絡資產(chǎn)風險檢測系統(tǒng)、騰訊安全高級威脅檢測系統(tǒng)可全面檢測企業(yè)網(wǎng)絡資產(chǎn)是否受安全漏洞影響,幫助及時感知企業(yè)網(wǎng)絡的各種入侵滲透攻擊風險,防患于未然。
對于個人用戶,騰訊安全專家建議采用騰訊電腦管家的漏洞掃描修復功能安裝補丁,對于未安裝管家的用戶,騰訊安全還單獨提供SMB遠程代碼漏洞修復工具,守護用戶安全,用戶可通過此地址(http://dlied6.qq.com/invc/QQPatch/QuickFix_SMB0796.exe)下載使用,也可嘗試運行Windows 更新修復補丁,或通過手動修改注冊表防止被黑客遠程攻擊。但騰訊安全專家也提醒用戶,攻擊者如果利用漏洞構(gòu)造網(wǎng)頁、文檔、共享文件投遞,封堵445端口和修改注冊表都不能解決,只能通過安裝補丁來修復。針對該漏洞,騰訊安全將持續(xù)保持關注,守護廣大企業(yè)及個人用戶安全。
我就搜集了如何關閉445端口的方法,下面分享出來一起學習。
先了解一下445端口:
445端口是net File System(CIFS)(公共Internet文件系統(tǒng)),445端口是一個毀譽參半的端口,他和139端口一起
是IPC$入侵的主要通道。有了它我們可以在局域網(wǎng)中輕松訪問各種共享文件夾或共享打印機,但也正是因為有了它,
黑客們才有了可乘之機,他們能通過該端口偷偷共享你的硬盤,甚至會在悄無聲息中將你的硬盤格式化掉!我們所能
做的就是想辦法不讓黑客有機可乘,封堵住445端口漏洞。
主要有三種方法,第一種通過防火墻比較簡單;第二種通過注冊表也很簡單;第三種稍微復雜一點通過修改ip安全
策略,所以這里沒有寫出來,前兩種就夠用了。但第一種我用的時候沒有效果,為了方便大家可以直接用第二種方法。
方法一:
通過防火墻可以直接關閉的,很簡單,在控制面板的“Windows 防火墻”頁面左側(cè)找到“高級設置”打開。
在“高級安全 windows 防火墻”頁面 左側(cè) 找到 “入站規(guī)則”右鍵點擊“新建規(guī)則”。
選擇“端口”。 點擊下一步。
這里要關閉什么端口就輸入到“特定本地端口”一次關一個,方法都是一樣的。然后點擊“下一步”。
TCP/UDP他們各自的端口號是相互獨立的,列如 TCP可以有個255端口,UDP也可以有個255端口,他們兩者并不沖突
端口135,139,445屬于TCP
端口137,138屬于UDP
選擇“阻止鏈接”。點擊“下一步”。
留下“公用”即可(這里為了安全我也選了專用)。
名稱和描述自己就隨便起了,已經(jīng)完成了
這么簡單的方法用了之后好像不太管用,查看命令行445端口仍然處于listing狀態(tài)???(為什么這樣我也不知道)
然后又用了第二種網(wǎng)上流行的修改注冊表的方法,也很簡單。
方法二
1、運行regedit打開注冊表
2、依次依次點擊注冊表選項”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters“,進入NetBT這個
服務的相關注冊表項。
3、在右邊空白處右擊新建“QWORD(64位)值”,然后重命名為“SMBDeviceEnabled”,再把這個子鍵的值改為0。
4、之后win7還要在service中設置
依次點擊“開始”,“運行”,輸入services.msc,進入服務管理控制臺。然后,找到server服務,雙擊進入管理控制頁面。把這個
服務的啟動類型更改為“禁用”,服務狀態(tài)更改為“停止”,最后點擊應用即可。
現(xiàn)在就已經(jīng)關閉了445端口。
重啟后,我們來檢查445是否已經(jīng)關閉
cmd命令行中輸入“netstat -an”查看端口狀態(tài),但如果直接輸入會無法識別netstat命令。所以要“cd c:/windows/system32/”切換,然后再執(zhí)行
上述命令,發(fā)現(xiàn)445端口已經(jīng)不存在了,就是已經(jīng)關閉了。
之后,出于好奇我又詳細了解了一下445端口的作用及其入侵的原理
下面附一個445端口入侵詳解
最后再附一個關閉135,139的鏈接:https://jingyan.baidu.com/article/0aa22375bf88b288cc0d6490.html