4月14日晚，一个叫Shadow Brokers的黑客组织泄露了一大波Windows的远程漏洞利用工具，事件细节可以参照运维派前面的文章《Windows血崩，一波大规模 0day 攻击泄漏》。

由于本次事件影响面广且严重，一些IT厂商（包括事件的主角：微软）都在第一时间给了紧急解决方案，供大家参考：

一、概要

Shadow Brokers泄露多个Windows 远程漏洞利用工具，可以利用SMB、RDP服务成功入侵服务器，可以覆盖全球 70% 的 Windows 服务器，且POC已公开，任何人都可以直接下载并远程攻击利用。

漏洞级别：紧急。（说明：漏洞级别共四级：一般、重要、严重、紧急。）

目前已知受影响的 Windows 版本包括但不限于：Windows NT，Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0

1. 查看windows系统版本；

2. 检查端口开放情况（是否开放了137、139、445、3389端口），本机cmd命令netstat –an 查看端口监听情况，然后在外网主机telnet 目标主机端口 ，如：telnet 114.114.114.114 137（其中114.114.114.114表示你要排查的服务器的IP地址，137表示端口）

1） 临时规避措施：关闭135、137、139、445，3389端口开放到外网。推荐使用安全组策略禁止135、137、139、445端口；3389端口限制只允许特定IP访问。（网络端口关闭，可按键：如何关闭Windows系统137, 139, 445网络端口？）

2） 及时到微软官网下载补丁升级

微软官方公告连接：

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

微软已经发出通告 ，强烈建议您更新最新补丁：

注意：修复漏洞前请将资料备份，并进行充分测试。