文章摘要： 近日，Shadow Brokers（影子經(jīng)紀(jì)人）組織在互聯(lián)網(wǎng)上發(fā)布了此前獲得的部…

1、CNNVD關(guān)于多個(gè)微軟產(chǎn)品漏洞的通報(bào)

　　近日，Shadow Brokers（影子經(jīng)紀(jì)人）組織在互聯(lián)網(wǎng)上發(fā)布了此前獲得的部分方程式黑客組織（Equation Group）的文件信息，其中包含多款針對(duì)MicrosoftWindows操作系統(tǒng)以及其他服務(wù)器系統(tǒng)軟件開(kāi)發(fā)的漏洞利用工具。由于上述工具所使用的漏洞危害程度高、利用方式簡(jiǎn)單且攻擊成功率高，對(duì)國(guó)家政企單位重要信息關(guān)鍵基礎(chǔ)設(shè)施可能造成重大影響。

　　為此，國(guó)家信息安全漏洞庫(kù)（CNNVD）對(duì)此進(jìn)行了跟蹤分析，對(duì)所涉及的漏洞信息進(jìn)行重要預(yù)警，情況如下：

一、漏洞簡(jiǎn)介

　　MicrosoftWindows是美國(guó)微軟（Microsoft）公司發(fā)布的一系列操作系統(tǒng)。

本次共涉及Windows操作系統(tǒng)漏洞信息12個(gè)（漏洞詳情見(jiàn)附件一），通過(guò)泄露的利用工具，攻擊者可利用上述漏洞對(duì)Windows操作系統(tǒng)遠(yuǎn)程執(zhí)行惡意代碼。

漏洞編號(hào)如下：

超危漏洞9個(gè)：

CNNVD-201703-726、CNNVD-201703-725、CNNVD-201703-724、CNNVD-201703-723、CNNVD-201703-721、CNNVD-201009-132、CNNVD-200910-232、CNNVD-200909-131、CNNVD-200810-406。

高危漏洞1個(gè)：

CNNVD-200910-226。

中危漏洞2個(gè)：

CNNVD-201703-722、CNNVD-201411-318。

以上漏洞影響包括但不限于Windows XP 、Windows 2000、Windows Vista、Windows 7、Windows 8、WindowsServer 2008、Windows Server 2012等多個(gè)微軟重要產(chǎn)品。

二、影響范圍

截止目前，根據(jù)統(tǒng)計(jì)顯示：

1、全球可能受到影響的Windows操作系統(tǒng)主機(jī)超過(guò)750萬(wàn)臺(tái)。其中，約有542萬(wàn)的RDP服務(wù)和約有208萬(wàn)的SMB協(xié)議服務(wù)運(yùn)行在Ｗindows上。

2、我國(guó)可能受到影響的Windows操作系統(tǒng)主機(jī)超過(guò)133萬(wàn)。其中，約有超過(guò)101萬(wàn)的RDP服務(wù)和超過(guò)32萬(wàn)的SMB協(xié)議服務(wù)運(yùn)行在Ｗindows上。

三、修復(fù)措施

目前，微軟官方已發(fā)表聲明，涉及的大部分漏洞已在微軟支持的產(chǎn)品中修復(fù)并發(fā)布安全公告。請(qǐng)用戶(hù)及時(shí)檢查是否受到漏洞影響。如確認(rèn)受到相關(guān)漏洞影響，可采取以下措施：

(一)   升級(jí)修復(fù)

受影響用戶(hù)可根據(jù)以下解決方案中相關(guān)信息進(jìn)行升級(jí)（補(bǔ)丁鏈接見(jiàn)附件二），微軟官方公告的解決方案對(duì)應(yīng)表如下所示：

　　另外，使用Window XP和Windowsserver 2003操作系統(tǒng)的主機(jī)，應(yīng)及時(shí)排查并盡快遷移重要數(shù)據(jù)，以消除漏洞隱患。

(二)   臨時(shí)緩解

如用戶(hù)不方便升級(jí)，可采取以下臨時(shí)解決方案：

１.關(guān)閉Windows Server 137、139、445、3389端口。若3389端口必須開(kāi)啟，則關(guān)閉Windows Server智能卡登陸功能。

２. 加強(qiáng)訪問(wèn)控制策略，尤其針對(duì)137、139、445、3389端口。同時(shí)加強(qiáng)對(duì)以上端口的內(nèi)網(wǎng)審計(jì)，消除可能存在的安全隱患。3.  及時(shí)更新相關(guān)的終端安全軟件確保添加件

附件一漏洞詳情

附件二 補(bǔ)丁鏈接

2、ShadowBrokers方程式工具包淺析，揭秘方程式組織工具包的前世今生

　　今日，臭名昭著的方程式組織工具包再次被公開(kāi)，TheShadowBrokers在steemit.com博客上提供了相關(guān)消息。據(jù)此，騰訊云鼎實(shí)驗(yàn)室對(duì)此進(jìn)行了分析。本次被公開(kāi)的工具包大小為117.9MB，包含23個(gè)黑客工具，其中部分文件顯示NSA曾入侵中東SWIFT銀行系統(tǒng)，工具包下載接見(jiàn)文后參考信息。

解密后的工具包：

　　其中Windows目錄包括Windows利用工具和相關(guān)攻擊代碼，swift目錄中是銀行攻擊的一些證據(jù)，oddjob目錄是植入后門(mén)等相關(guān)文檔。

Windows 目錄：

　　Windows目錄下包含了各種漏洞利用工具，在exploits中包含了豐富的漏洞利用工具，可影響windows多個(gè)平臺(tái)。

其中有三個(gè)目錄較為重要：

A、Exploits：

包含了很多漏洞利用工具，這里摘取一些進(jìn)行簡(jiǎn)要介紹：

　　經(jīng)過(guò)初步梳理，重點(diǎn)關(guān)注對(duì)winserver有影響的幾個(gè)工具，更多工具展示見(jiàn)參考3。

Explodingcan IIS漏洞利用工具,只對(duì)Windows 2003有影響

Eternalromance   SMB 和 NBT漏洞利用工具，影響端口139和445 

Emphasismine   通過(guò)IMAP漏洞攻擊，攻擊的默認(rèn)端口為143

Englishmansdentist   通過(guò)SMTP漏洞攻擊，默認(rèn)端口25

Erraticgopher 通過(guò)RPC漏洞攻擊，端口為445

Eskimoroll   通過(guò)kerberos漏洞進(jìn)行攻擊，默認(rèn)攻擊端口88

Eclipsedwing   MS08-67漏洞利用工具

Educatedscholar   MS09-050漏洞利用工具

Emeraldthread MB和 Netbios 漏洞利用工具，使用445端口和 139端口

Zippybeer   SMTP漏洞利用工具，默認(rèn)端口 445

Eternalsynergy   SMB漏洞利用工具，默認(rèn)端口 445

Esteemaudit  RDP漏洞利用工具，默認(rèn)攻擊端口為3389

B、FUZZBUNCH：

是一個(gè)類(lèi)似 MSF的漏洞利用平臺(tái)工具，python編寫(xiě)。

C、Specials：

ETERNALBLUE ：利用SMB漏洞，攻擊開(kāi)放445端口的windows機(jī)器。

影響范圍如圖：

ETERNALCHAMPION ：利用SMB漏洞，攻擊開(kāi)放445端口的windows機(jī)器。

影響范圍如圖：

可以看出，其中多個(gè)工具，對(duì)于windowsserver系統(tǒng)均有覆蓋。

ODDJOB目錄：

支持向如下系統(tǒng)中植入后門(mén)代碼，可以對(duì)抗avira和norton的檢測(cè)。

工具包中提供了一個(gè)常見(jiàn)反病毒引擎的檢測(cè)結(jié)論。

存放一些金融信息系統(tǒng)被攻擊的一些信息。部分被入侵的機(jī)器信息如下：

下面excel文件表明，方程式組織可能對(duì)埃及、迪拜、比利時(shí)的銀行有入侵的行為。

其中一個(gè)入侵日志：

對(duì)我們的警示：

　　本次公開(kāi)的工具包中，包含多個(gè)Windows 漏洞的利用工具，只要Windows服務(wù)器開(kāi)了25、88、139、445、3389 等端口之一，就有可能被黑客攻擊，其中影響尤為嚴(yán)重的是445和3389端口。在未來(lái)的一段時(shí)間內(nèi)，互聯(lián)網(wǎng)上利用這些公開(kāi)的工具進(jìn)行攻擊的情況會(huì)比較多，除了提醒用戶(hù)，發(fā)布預(yù)警外，需要加強(qiáng)入侵監(jiān)控和攻擊防范。

臨時(shí)緩解措施：

1）升級(jí)系統(tǒng)補(bǔ)丁，確保補(bǔ)丁更新到最新版本。

2）使用防火墻、或者安全組配置安全策略，屏蔽對(duì)包括445、3389在內(nèi)的系統(tǒng)端口訪問(wèn)。

參考附錄：

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation

https://github.com/x0rz/EQGRP_Lost_in_Translation

https://zhuanlan.zhihu.com/p/26375989

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/