×

方程式工具包泄露Windows漏洞,深信服发布检测和防护方案
  

深信服安全产品研发 6477

{{ttag.title}}

方程式工具包泄露Windows漏洞,某公司发布检测和防护方案                      

                                                                                      
      周末早上,一波重磅炸弹在网络空间炸开,去年轰动一时的Shadow Brokers (又称“影子经纪人”)再次泄露一份“足以黑掉全世界的”绝密文档。

      本次泄露的文档中包含大量Windows漏洞以及利用工具。目前Windows服务器在国内以及世界范围内的企业、学校、政府机关单位使用量非常大。因此,千里目安全实验室对本次泄露的文档中影响最为严重的的三个Windows漏洞做出检测和防御处置。

漏洞简介

漏洞一、Windows SMB远程提权漏洞,工具ETERNALROMANCE 是 SMB的重量级利用,可以攻击开放了445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。

Microsoft 服务器消息块 (SMB) 协议是 Microsoft Windows 中使用的一项 Microsoft 网络文件共享协议。在大部分 windows 系统中都是默认开启的,用于在计算机间共享文件、打印机等。

445端口是一种TCP端口,该端口在windows Server系统中提供局域网中文件或打印机共享服务,攻击者与445端口建立请求连接,能够获得指定局域网内的各种共享信息。
成功上传后门效果图如下:



获取服务器权限效果图如下:



漏洞二、Windows 2003 IIS 6.0 远程代码执行漏洞,EXPLODINGCAN 是 IIS 6.0 远程漏洞利用工具,可对Windows 2003系统远程上传后门,控制服务器,执行任意代码,利用效果图如下:


漏洞三、Windows RDP 服务远程漏洞,ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口且开启了智能卡登陆的 Windows XP 和 Windows 2003 机器。

RDP(Remote Desktop Protocol)是Windows远程桌面服务的简称,3389端口是Windows Server远程桌面的服务端口,可以通过这个端口,用 "远程桌面" 等连接工具来连接到远程的服务器,链接成功后输入系统管理员的用户名和密码,可以像操作本机一样操作远程的电脑。

攻击者利用泄露的工具向服务器中植入后门,执行任意代码。

漏洞影响

对于已泄露的黑客工具研究分析,目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。约覆盖全球 70% 的 Windows 服务器。

漏洞检测

以上三个漏洞的检测方案已同步在某公司安全服务平台,目前已检测到多个用户系统存在漏洞,检测报告如下:



修补方案

1、15日下午,微软官方发布公告,称对此次披露的大部分漏洞已经完成修补,在所有服务和补丁保证更新到最新版本的情况下,以下几个工具的攻击将不会受到影响。



公告链接:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=groupmessage&isappinstalled=0

2、在无法升级服务器的情况下,建议所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8,Win 10 ,全部使用防火墙过滤/关闭 137、139、445端口;对于 3389 远程登录,如果不想关闭的话,至少关闭智能卡登录功能。

3、某公司下一代防火墙用户,今晚十二点后升级IPS版本到20170415及其以上版本,可轻松防御针对以上三个漏洞的攻击。

针对其他泄露的工具,千里目安全实验室将会持续跟踪响应。

参考链接:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=groupmessage&isappinstalled=0
https://github.com/x0rz/EQGRP_Lost_in_Translation

某公司智安全专注做实用的安全,能够帮助组织更有效地检测并阻止安全威胁,降低IT业务创新过程中的各种风险,为您的网络、数据和组织提供全面保护,让每个组织的安全建设更有效、更简单。
                                                                                                     
                    

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

一帆峰顺 发表于 2017-5-16 08:35
  
赞一下,好厉害
王老师 发表于 2017-4-21 15:34
  
好腻害的样子
feeling 发表于 2017-4-18 20:50
  
学习了。
首之福 发表于 2017-4-18 17:28
  
好腻害的样子,什么时候我也能这样
深信服_服务营销 发表于 2017-4-18 16:30
  
我服的NGAF 用户有福了~~
不仅可以第一时间了解到最新的0day漏洞,还能够自主扫描验证内部服务器是否存在漏洞,如果扫描出问题可以通过启用IPS功能中的“保护服务器”选项及更新特征库进行应急处置,快速地将风险降到最低。
神样队员 发表于 2017-4-18 13:30
  
好厉害。
aymxr 发表于 2017-4-18 12:36
  
学习下
夏虫语冰 发表于 2017-4-18 07:50
  
学习下
小玮 发表于 2017-4-17 22:47
  
不知道方程式机构缺不缺端茶倒水到底的。
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人