修复方案丨又一波大规模 0day 攻击泄漏
点击“合天智汇”关注,学习网安干货
Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个精美的 Windows 远程漏洞利用工具,可以覆盖大量的 Windows 服务器,一夜之间所有Windows服务器几乎全线暴露在危险之中,任何人都可以直接下载并远程攻击利用,考虑到国内不少高校、政府、国企甚至还有一些互联网公司还在使用 Windows 服务器,这次事件影响力堪称网络大地震。
目前已知受影响的Windows版本包括但不限于:
1
Windows NT
2
Windows 2000
3
Windows XP
4
Windows 2003
5
Windows Vista
6
Windows 7
7
Windows 8
8
Windows 2008
9
Windows 2008 R2
10
Windows Server 2012 SP0
故事还要从一年前说起,2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。
这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shadow Brokers” 还保留了部分文件,打算以公开拍卖的形式出售给出价最高的竞价者,“Shadow Brokers” 预期的价格是 100 万比特币(价值接近5亿美金)。这一切听起来难以置信,以至于当时有不少安全专家对此事件保持怀疑态度,“Shadow Brokers” 的拍卖也因此一直没有成功。
北京时间 2017 年 4 月 14 日晚,“Shadow Brokers” 终于忍不住了,在推特上放出了他们当时保留的部分文件,解压密码是 “Reeeeeeeeeeeeeee”。
这次的文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具(我们挑几个重要的列举如下):
EXPLODINGCAN 是 IIS 5/6 远程漏洞利用工具
ETERNALROMANCE 是 SMB1 的重量级利用,可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限,漏洞编号为MS17-010,已于 2017 年 3 月修复。
除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器,且基本都已修复于 2017 年 3 月。
ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口且开启了智能卡登陆的 Windows XP 和 Windows 2003 机器。
FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。
ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。
ECLIPSEDWING 是 Windows 服务器的远程漏洞利用工具,漏洞编号为MS08-067,修复于2008年。
ESKIMOROLL 是 Kerberos 的漏洞利用攻击,可以攻击开放了 88 端口的 Windows 2000/2003/2008/2008 R2 的域控制器,漏洞编号为MS14-068,修复于2014年。
不放不要紧,放出来吓坏了一众小伙伴。这些文件包含多个 Windows 神洞的利用工具,只要 Windows 服务器开了135、445、3389 其中的端口之一,有很大概率可以直接被攻击,这相比于当年的 MS08-067 漏洞有过之而无不及啊,如此神洞已经好久没有再江湖上出现过了。
掏出 Exp 试了一波,果然是一打一个准,这些工具的截图如下:
除 Windows 以外,“Shadow Brokers” 泄露的数据还显示方程式攻击了中东一些使用了 Swift 银行结算系统的银行。
漏洞修复方案
1. 推荐方案:更新官方补丁
截至目前,方程式组织所使用的大部分漏洞官方均已发布相关补丁,强烈建议您更新相关补丁。攻击工具所对应的补丁列表如下:
工具名称
解决措施
“EternalBlue”
Addressed by MS17-010
“EmeraldThread”
Addressed by MS10-061
“EternalChampion”
Addressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher”
Addressed prior to the release of Windows Vista
“EsikmoRoll”
Addressed by MS14-068
“EternalRomance”
Addressed by MS17-010
“EducatedScholar”
Addressed by MS09-050
“EternalSynergy”
Addressed by MS17-010
“EclipsedWing”
Addressed by MS08-067
2、临时解决方案(两种方案)
若您的服务器暂时不方便更新补丁,我们推荐的临时解决方案如下:
利用腾讯云安全组配置安全防护规则,操作如下
下图为利用安全组限制可以远程访问的3389端口的源IP。
下图为利用安全组禁用137,139,445端口。
针对Windows 2008版本及以上的系统可以临时关闭相应服务操作步骤如下:
1)未修复之前截图如下:
2)修复操作如下:禁止Windows共享,卸载下图两个组件(此操作的目的是禁止445端口)
(实施完毕后,需要重启系统生效,操作前请您根据对业务的影响情况进行评估)
3)禁止netbios(此操作的目的是禁止137,139端口)
4)关闭远程智能卡(此操作的目的是关闭Windows智能卡功能,避免rdp服务被攻击利用)
如上为目前我们参考解决方案,具体需要您根据自身业务进行对照检查并开展整改工作。
点击下面标题可查看近期相关热门文章
回顾热门
Word曝0day漏洞:无需启用宏,打开文档就自动安装恶意程序