1.漏洞及黑客工具的泄漏
2017年4月14日晚����,一個(gè)名為“Shadow Brokers”的黑客組織,在其推特上放出了多個(gè)Windows遠(yuǎn)程漏洞黑客工具���,可以覆蓋大量的Windows操作系統(tǒng)����,例如:
① ExplodingCan是IIS6.0遠(yuǎn)程漏洞利用工具。
② ETERNALROMANCE是SMB1的重量級(jí)利用�����,可以攻擊開放了445端口的Windows XP,2003,Vista,Windows 7,Windows 8,Windows Server 2008,Windows Server 2008 R2并提升至系統(tǒng)權(quán)限���。
③ ERRATICGOPHER�、ETERNALBLUE���、ETERNALSYNERGY�����、ETERNALCHAMPION��、EDUCATEDSCHOLAR���、EMERALDTHREAD等都是SMB漏洞利用程序,可以攻擊開放了445端口的Windows主機(jī)�����。
④ ESTEEMAUDIT是RDP服務(wù)的遠(yuǎn)程漏洞利用工具����,可以攻擊開放了3389端口且開啟了智能卡登陸的Windows XP和Windows 2003主機(jī)�����。
⑤ FUZZBUNCH是一個(gè)類似MetaSploit的漏洞利用平臺(tái)����。
⑥ ODDJOB是無法被殺毒軟件檢測(cè)的Rootkit利用工具���。
⑦ ECLIPSEDWING是Windows服務(wù)器的遠(yuǎn)程漏洞利用工具。
⑧ ESKIMOROLL是Kerberos的漏洞利用攻擊����,可以攻擊Windows2000/2003/2008/2008 R2的域控制器。
2.漏洞及黑客工具的危害
目前已知受影響的Windows版本包括但不限于:
? Windows NT�����,
? Windows 2000���、
? Windows XP���、
? Windows 2003����、
? Windows Vista�、
? Windows 7、
? Windows 8����,
? Windows 2008、
? Windows 2008 R2���、
? Windows Server 2012 SP0��。
受影響的端口:135�、137�、139、445�、3389。
3.漏洞的排查措施
本次推特上故意曝出的黑客工具利用SMB服務(wù)和RDP服務(wù)遠(yuǎn)程入侵���,需要確認(rèn)Windows服務(wù)器是否對(duì)外開啟了135�����、137�����、139��、445�����、3389端口����。
4.補(bǔ)救措施
第一���、微軟已經(jīng)發(fā)出通告�����,強(qiáng)烈建議更新以下補(bǔ)?����?���;
EternalBlue Addressed by MS17-010
https://support.microsoft.com/en-us/help/4012598/title
EmeraldThread Addressed by MS10-061
https://technet.microsoft.com/en-us/library/security/ms10-061.aspx
EternalChampion Addressed by CVE-2017-0146 & CVE-2017-1047
ErraticGopher Addressed prior to the release of Windows Vista
EsikmoRoll Addressed by MS14-068
https://technet.microsoft.com/library/security/MS14-068
EternalRomance Addressed by MS17-010
https://support.microsoft.com/en-us/help/4012598/title
EducatedScholar Addressed by MS09-050
EternalSynergy Addressed by MS17-010
https://support.microsoft.com/en-us/help/4012598/title
EclipsedWing Addressed by MS08-067
https://technet.microsoft.com/en-us/library/security/ms08-067.aspx
Windows服務(wù)器、個(gè)人電腦開啟“自動(dòng)更新”功能�����,主動(dòng)更新補(bǔ)丁程序�����。
第二�、Windows防火墻關(guān)閉端口
所有Windows服務(wù)器、個(gè)人電腦����,包括XP/2003/Win7/Win8,Win10����,應(yīng)該全部使用windows防火墻過濾/關(guān)閉功能,關(guān)閉135�、137、139���、445端口�����。
對(duì)于3389遠(yuǎn)程登錄���,如果不想關(guān)閉的話����,至少要關(guān)閉智能卡登錄功能����。
甘公網(wǎng)安備 62010002000506號(hào)
