1.漏洞及黑客工具的泄漏
2017年4月14日晚,一个名为“Shadow Brokers”的黑客组织,在其推特上放出了多个Windows远程漏洞黑客工具,可以覆盖大量的Windows操作系统,例如:
① ExplodingCan是IIS6.0远程漏洞利用工具。
② ETERNALROMANCE是SMB1的重量级利用,可以攻击开放了445端口的Windows XP,2003,Vista,Windows 7,Windows 8,Windows Server 2008,Windows Server 2008 R2并提升至系统权限。
③ ERRATICGOPHER、ETERNALBLUE、ETERNALSYNERGY、ETERNALCHAMPION、EDUCATEDSCHOLAR、EMERALDTHREAD等都是SMB漏洞利用程序,可以攻击开放了445端口的Windows主机。
④ ESTEEMAUDIT是RDP服务的远程漏洞利用工具,可以攻击开放了3389端口且开启了智能卡登陆的Windows XP和Windows 2003主机。
⑤ FUZZBUNCH是一个类似MetaSploit的漏洞利用平台。
⑥ ODDJOB是无法被杀毒软件检测的Rootkit利用工具。
⑦ ECLIPSEDWING是Windows服务器的远程漏洞利用工具。
⑧ ESKIMOROLL是Kerberos的漏洞利用攻击,可以攻击Windows2000/2003/2008/2008 R2的域控制器。
2.漏洞及黑客工具的危害
目前已知受影响的Windows版本包括但不限于:
Ø Windows NT,
Ø Windows 2000、
Ø Windows XP、
Ø Windows 2003、
Ø Windows Vista、
Ø Windows 7、
Ø Windows 8,
Ø Windows 2008、
Ø Windows 2008 R2、
Ø Windows Server 2012 SP0。
受影响的端口:135、137、139、445、3389。
3.漏洞的排查措施
本次推特上故意曝出的黑客工具利用SMB服务和RDP服务远程入侵,需要确认Windows服务器是否对外开启了135、137、139、445、3389端口。
4.补救措施
第一、微软已经发出通告,强烈建议更新以下补丁;
EternalBlue Addressed by MS17-010
https://support.microsoft.com/en-us/help/4012598/title
EmeraldThread Addressed by MS10-061
https://technet.microsoft.com/en-us/library/security/ms10-061.aspx
EternalChampion Addressed by CVE-2017-0146 & CVE-2017-1047
ErraticGopher Addressed prior to the release of Windows Vista
EsikmoRoll Addressed by MS14-068
https://technet.microsoft.com/library/security/MS14-068
EternalRomance Addressed by MS17-010
https://support.microsoft.com/en-us/help/4012598/title
EducatedScholar Addressed by MS09-050
EternalSynergy Addressed by MS17-010
https://support.microsoft.com/en-us/help/4012598/title
EclipsedWing Addressed by MS08-067
https://technet.microsoft.com/en-us/library/security/ms08-067.aspx
Windows服务器、个人电脑开启“自动更新”功能,主动更新补丁程序。
第二、Windows防火墙关闭端口
所有Windows服务器、个人电脑,包括XP/2003/Win7/Win8,Win10,应该全部使用windows防火墙过滤/关闭功能,关闭135、137、139、445端口。
对于3389远程登录,如果不想关闭的话,至少要关闭智能卡登录功能。
甘公网安备 62010002000506号
