网络安全
当前位置: 首页 >> 网络安全 >> 漏洞病毒 >> 正文
关于警惕“影子经纪人”事件系列漏洞威胁的预警通报
作者:   来源:   日期:2017年05月13日   点击:[]

  

  北京时间512日,全球互联网遭受Wannacry勒索软件蠕虫感染。截止1716时,CNCERT监测发现全球近356.3万个IP地址遭受“永恒之蓝”SMB漏洞攻击,其中位于我国境内的IP地址数量接近12.5万个,对我国互联网造成严重的安全威胁。综合CNCERT和国内网络安全企业已获知的样本情况和分析结果,该勒索软件蠕虫在传播时基于445端口并利用SMB漏洞(对应微软漏洞公告:MS17-010),可以判断是由于“影子经纪人”(Shadow Brokers)组织此前公开披露漏洞攻击工具而导致的后续勒索软件蠕虫攻击。

  

  2017414日晚,“影子经纪人”组织在互联网上发布“方程式”(Equation Group)组织的部分工具文件,包含针对Windows操作系统以及其他办公、邮件软件的多个高危漏洞攻击工具,这些工具集成化程度高、部分攻击利用方式较为高效。针对可能引发的互联网上针对Window操作系统主机或应用软件的大规模攻击,416日,CNCERT主办国家信息安全漏洞共享平台(CNVD)发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》(访问链接:http://www.cnvd.org.cn/webinfo/show/4110)。时隔不到一个月,Wannacry勒索软件蠕虫大范围感染事件也印证了当时推测的严重危害。

  

  针对“影子经纪人”发布的黑客使用的大量针对Windows操作系统以及其他广泛应用的软件产品的工程化工具及其对应的利用安全漏洞,CNCERT进行了详细梳理,并提供相应处置建议,提醒广大互联网用户及时做好应急处置,避免被恶意攻击或利用。   

  

        一、影子经纪人组织披露的系列漏洞描述

     (一)Windows操作系统SMB协议相关漏洞及攻击工具(共8个)   

      1ETERNALBLUE永恒之蓝

       工具及漏洞说明: ETERNALBLUE是针对Windows系统SMB协议的漏洞利用程序,可以攻击开放445 端口的大部分Windows主机。对应漏洞的相关信息可参考Microsoft安全公告MS17-010https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。   

      受影响软件及版本: Windows XPWindows 2012   

      补丁文件下载地址: Windows安全更新程序 (KB4012598)http://www.catalog.update.microsoft.com/search.aspx?q="4012598   

  

       2Educatedscholar

       工具及漏洞说明: Educatedscholar是针对Windows系统SMB 协议的漏洞利用程序,可以攻击开放445 端口的特定版本Windows 主机。对应漏洞的相关信息可参考微软安全公告MS09-050https://technet.microsoft.com/library/security/ms09-050)。   

       受影响软件及版本: Windows VistaWindows Vista SP1 Windows Vista SP2Windows Server 2008Windows Server 2008 SP2   

      补丁文件下载地址: Windows安全更新程序 (KB975517)http://www.catalog.update.microsoft.com/Search.aspx?q="975517   

  

      3Eternalsynergy

      工具及漏洞说明: Eternalsynergy是针对Windows系统SMBv3协议的远程代码执行漏洞攻击工具,可以攻击开放445 端口的特定版本Windows 主机。对应漏洞的相关信息可参考Microsoft 安全公告 MS17-010https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。   

      受影响产品及版本: Windows 8Windows Server 2012   

      补丁文件下载地址: Windows安全更新程序 (KB4012598)http://www.catalog.update.microsoft.com/search.aspx?q="4012598   

  

       4Emeraldthread

       工具及漏洞说明: Emeraldthread是针对Windows系统SMBv1协议允许远程执行代码的漏洞攻击工具。对应漏洞的相关信息可参考Microsoft 安全公告 MS10-061https://technet.microsoft.com/zh-cn/library/security/ms10-061.aspx)。   

      受影响产品及版本: 可能影响Windows XP2003Vista2008Windows72008 R2   

       补丁下载地址: Windows安全更新程序 (KB2347290)http://www.catalog.update.microsoft.com/Search.aspx?q="2347290   

  

      5Erraticgopher

       工具及漏洞说明: Erraticgopher是针对Windows系统SMBv1协议的漏洞攻击工具, Windows Vista发布的时候已经修复该漏洞,但之前的版本可能受影响。

       受影响产品及版本: Windows XPWindows Server 2003

  

       6Eternalromance

      工具及漏洞说明: Eternalromance是针对Windows系统SMBv1协议的漏洞攻击工具,可能影响大部分Windows版本。对应漏洞的相关信息可参考Microsoft 安全公告 MS17-010https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。   

      受影响产品及版本: Windows XP/Vista/7/2003/2008   

       补丁文件下载地址: Windows安全更新程序 (KB4012598)http://www.catalog.update.microsoft.com/search.aspx?q="4012598

  

       7Eclipsedwing

      工具及漏洞说明: Eclipsedwing是针对Windows系统SMB/NBT协议中可能允许远程执行代码的漏洞利用工具,对应漏洞的相关信息见Microsoft 安全公告 MS08-067https://technet.microsoft.com/library/security/ms08-067)。   

       受影响产品及版本: Windows XP/2003/2008

       补丁下载地址: Windows安全更新程序 (KB958644)http://www.catalog.update.microsoft.com/Search.aspx?q="958644

  

      8EternalChampion

      工具及漏洞说明: EternalChampion是针对Windows系统SMBv1协议的漏洞攻击工具,可能影响大部分Windows版本。对应漏洞的相关信息可参考Microsoft 安全公告 MS17-010https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。   

       受影响产品及版本: 全平台Windows   

       补丁文件下载地址: Windows安全更新程序 (KB4012598)http://www.catalog.update.microsoft.com/search.aspx?q="4012598   

       针对上述SMB等协议相关漏洞及攻击工具的相关建议如下:   

    1)及时更新和安装Windows已发布的安全补丁;   

    2)关闭135137139445等端口的外部网络访问权限,在主机上关闭不必要的上述服务端口;   

     3)加强对135137139445等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;   

     4)由于微软对部分操作系统停止对Window XPWindows server 2003的安全更新,建议对这两类操作系统主机重点进行排查。针对上述漏洞,Window XPWindows Server 2003用户以及其他无法直接使用Windows自动更新功能的用户可根据Windows系统和版本自行从微软官网(见上述各个漏洞工具描述中提供的补丁下载地址链接)下载补丁文件并安装。   

  

     (二)Windows系统RDPIISKerberos协议相关漏洞及攻击工具(共3个)

       1Esteemaudit

     工具及漏洞说明: ESTEEMAUDIT是一个针对3389端口的远程溢出程序,它利用Windows 远程桌面访问RDP协议缺陷实施攻击。   

     受影响产品及版本: 目前已知可能受影响的操作系统是Windows XPWindows Server 2003   

     应对建议: 由于微软公司已经停止对Windows XPWindows Server 2003的安全更新,使用这两种版本操作系统并且开放RDP3389端口服务的计算机用户需要尽快开展处置措施。   

  

    1)如不需要远程访问,建议关闭远程协助功能和远程桌面访问,开启网络防火墙、Windows防火墙拦截RDP默认端口的访问;   

    2)如果业务需要开启远程访问,建议配置网络防火墙或Windows防火墙只允许信任的白名单IP地址的访问,或者将RDP服务端口3389配置(映射)为其他非常用端口;   

    3)由于微软对部分操作系统停止对Window XPWindows server 2003的安全更新,建议对这两类操作系统主机重点进行排查。   

  

        2Eskimoroll  

      工具及漏洞说明: Eskimoroll Kerberos协议允许特权提升的Kerberos漏洞攻击工具,可能影响Windows域控服务。详细情况可参考微软安全公告MS14-068https://technet.microsoft.com/zh-cn/library/security/ms14-068.aspx)。   

      受影响产品及版本: Windows 2000/2003/2008/2012   

      补丁下载地址: Windows安全更新程序 (KB3011780)http://www.catalog.update.microsoft.com/Search.aspx?q="3011780   

      应对建议: 针对Windows 2003/2008/2012,下载和升级系统补丁,并在防火墙中配置tcp 88端口的安全访问控制。针对不提供升级更新支持的Windows 2000,建议重点进行排查。   

  

      3Explodingcan

       工具及漏洞说明: Explodingcan是针对Windows 2003系统 IIS6.0服务的远程攻击工具,但需要目标主机开启WEBDAV才能攻击,不支持安全补丁更新。   

      受影响产品及版本: Windows 2003 IIS6.0(开启WEBDAV)。   

      应对建议: 微软不再支持Windows 2003系统安全更新,建议关闭WEBDAV,使用WAFIPS等安全防护,或者升级操作系统。   

  

      (三)办公软件及邮件系统相关漏洞及攻击工具(共4个)

      1Easybee  

      工具及漏洞说明: 针对邮件系统MDaemon远程代码执行漏洞的利用工具。   

      受影响产品及版本: 受影响的MDaemon是美国Alt-N公司开发的一款标准SMTP/POP/IMAP邮件系统。   

      较旧的不受支持的版本(9.x11.x)可能容易受到EasyBee攻击。   

      版本12.x13.0可能容易受到EasyBee使用的漏洞利用影响。   

      版本13.5和更新版本不容易受到攻击。   

      应对建议: 将所有旧的、不受支持的MDaemon版本升级到最新的、安全的版本。参考官方网站http://www.altn.com/Support/进行漏洞升级。   

  

      2Englishmansdentist

      工具及漏洞说明: 针对Outlook Exchange邮件系统的漏洞利用程序,可攻击开放http 80https 443端口提供web访问的Outlook Exchange邮件系统。

      受影响产品及版本: Outlook Exchange邮件系统早期版本Exchange 2003Exchange 2007   

      应对建议: 升级到Exchange 2010及以上版本,安全备份邮件数据。   

  

       3Ewokfrenzy

      工具及漏洞说明: 针对 Lotus Domino软件IMAP服务的漏洞攻击工具。   

      受影响产品及版本: IBM Lotus Domino 6.5.4 to 7.0.2   

     应对建议:  升级最新、安全的版本或使用其他替代产品,安全备份邮件数据。   

  

       4Emphasismine

      工具及漏洞说明: 针对 Lotus Domino软件IMAP服务的漏洞攻击工具。   

      受影响产品及版本: Lotus Domino 6.5.4, 6.5.5, 7.0-8.5.2   

      应对建议:  升级最新、安全的版本或使用其他替代产品,安全备份邮件数据。   

  

      二、其他应急措施   

      除了上述针对各类利用漏洞的防护建议外,特别是针对Windows XPWindows 2003等停止更新服务的系统,建议广大用户在网络边界、内部网络区域、主机资产、数据备份方面还要做好如下应急措施工作,避免和降低网络攻击风险:   

      (一)做好本单位Windows XPWindows 2003主机的排查;   

      (二)升级更新终端安全防护软件,加强网络和主机的安全防护。   

      (三)做好信息系统业务和文件数据在不同存储介质上的安全可靠备份。  

  

  

  

  

上一条:国家互联网应急中心开通暗云木马感染数据免费查询服务 下一条:Struts2远程代码执行漏洞s2-032分析及其利用

关闭

办公地点:第四教学楼东侧信息技术服务中心      办公时间:周一至周五 8:00-11:30   14:30-18:00(春夏)   14:00-17:30(秋冬)
*办理个人业务请携带本人身份证件
学校地址:山东省烟台市莱山区滨海中路191号
版权所有:山东工商学院信息技术服务中心