【预警通告】方程式组织泄漏大量针对Windows攻击工具威胁

北京时间4月14日晚间,Shadow Brokers组织公布了此前窃取的部分方程式(Equation Group)组织的机密文件。这部分被公开的文件曾经被Shadow Brokers组织以数亿美金拍卖,因为这部分文件包含了数个令人震撼的黑客工具,用来攻击包括Windows在内的多个系统漏洞。此次泄漏的文件包括三部分:Windows, Swift以及Odd。

其中Windows目录下的黑客工具包含了IIS 6.0远程漏洞的利用;SMB1的重量级利用,可以用来攻击开放了445端口的Windows系统并且提权;RDP服务远程漏洞的利用,可以攻击开放了3389端口的Windows机器等等。开放了135,445,3389等端口的Windows服务器有很大概率受到攻击。

方程式组织据说是美国国家安全局(NSA)下属的一个黑客组织,拥有着超高的技术以及大量黑客工具。这次泄漏出来的漏洞攻击工具覆盖了全球绝大部分的Windows服务器,且任何人均可以下载直接利用,但是微软(Microsoft)官方也随即在北京时间15日发布公告,表示针对Windows系统的攻击已经大部分在之前的系统升级补丁中解决。

相关地址:

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation

https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

https://zhuanlan.zhihu.com/p/26375989?utm_medium=social&utm_source=wechat_timeline&from=groupmessage&isappinstalled=0

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

泄漏文件如下:

受影响的版本

本次泄露的攻击工具利用了大量Windows漏洞,具体影响版本请点击后面各漏洞详细信息查看。

不受影响的版本

本次泄露的攻击工具利用了大量Windows漏洞,具体影响版本请点击后面各漏洞详细信息查看。

微软官方防护方案

微软MSRC在北京时间15日下午发布的调查结果显示,此次泄漏的针对Windows的攻击中绝大部分已经在之前的系统升级补丁中修复(如下图所示),剩余的攻击工具(“EnglishmanDentist”, “EsteemAudit”, and “ExplodingCan”)也只影响微软不再支持的版本。

值得注意的是在3月份刚刚发布的MS17-010补丁,该补丁修复了3个重大的SMB远程利用漏洞,请用户尽快下载升级至最新版本。

攻击工具代号 解决方案
EternalBlue MS17-010已解决
EmeraldThread MS10-061已解决
EternalChampion CVE-2017-0146 & CVE-2017-0147已解决
ErraticGopher Windows Vista发布前已解决
EskimoRoll MS14-068已解决
EternalRomance MS17-010已解决
EducatedScholar MS09-050已解决
EternalSynergy MS17-010已解决
EclipsedWing MS08-067已解决

建议用户将受到影响的系统立即升级到最新的官方支持版本。

参考链接:

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

临时防护方案

如果用户暂时不便升级相关系统,可以采取以下临时防护方法:

  1. 按照最小化原则开放服务器端口,暂时关闭135,137,139,445与3389等服务端口,且在非必要的情况下关闭端口对应的服务。
  2. 严格限制可信IP对于重要服务器的访问。

注:由于此次涉及的漏洞数量众多,分析起来较复杂,相关的规则与插件部署速度较慢,绿盟科技安全团队建议受影响的用户立即升级到最新的官方支持版本来规避这些漏洞攻击。

附录

相关端口说明:

135

135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。

137

137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。137端口属于UDP端口,使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求,就可以获取该计算机的名称、注册用户名,以及是否安装主域控制器、IIS是否正在运行等信息。

139

139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows”文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。

445

445端口也是一种TCP端口,该端口在windows 20XX Server系统中发挥的作用与139端口是完全相同的。具体地说,它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议(通用因特网文件系统协议)工作的,而139端口是基于SMB协议(服务器协议族)对外提供共享服务。同样地,攻击者与445端口建立请求连接,也能获得指定局域网内的各种共享信息。

3389

3389端口是Windows 20xx Server远程桌面的服务端口,可以通过这个端口,用”远程桌面”等连接工具来连接到远程的服务器,如果连接上了,输入系统管理员的用户名和密码后,将变得可以像操作本机一样操作远程的电脑,因此远程服务器一般都将这个端口修改数值或者关闭。

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment