周末早上,一波重磅炸弹在网络空间炸开,去年轰动一时的Shadow Brokers (又称“影子经纪人”)再次泄露一份“足以黑掉全世界的”绝密文档。
本次泄露的文档中包含大量Windows漏洞以及利用工具。目前Windows服务器在国内以及世界范围内的企业、学校、政府机关单位使用量非常大。因此,千里目安全实验室对本次泄露的文档中影响最为严重的的三个Windows漏洞做出检测和防御处置。
漏洞简介
漏洞一、Windows SMB远程提权漏洞,工具ETERNALROMANCE 是 SMB的重量级利用,可以攻击开放了445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。
Microsoft 服务器消息块 (SMB) 协议是 Microsoft Windows 中使用的一项 Microsoft 网络文件共享协议。在大部分 windows 系统中都是默认开启的,用于在计算机间共享文件、打印机等。
445端口是一种TCP端口,该端口在windows Server系统中提供局域网中文件或打印机共享服务,攻击者与445端口建立请求连接,能够获得指定局域网内的各种共享信息。
成功上传后门效果图如下:
获取服务器权限效果图如下:
漏洞二、Windows 2003 IIS 6.0 远程代码执行漏洞,EXPLODINGCAN 是 IIS 6.0 远程漏洞利用工具,可对Windows 2003系统远程上传后门,控制服务器,执行任意代码,利用效果图如下:
漏洞三、Windows RDP 服务远程漏洞,ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口且开启了智能卡登陆的 Windows XP 和 Windows 2003 机器。
RDP(Remote Desktop Protocol)是Windows远程桌面服务的简称,3389端口是Windows Server远程桌面的服务端口,可以通过这个端口,用 "远程桌面" 等连接工具来连接到远程的服务器,链接成功后输入系统管理员的用户名和密码,可以像操作本机一样操作远程的电脑。
攻击者利用泄露的工具向服务器中植入后门,执行任意代码。
漏洞影响
对于已泄露的黑客工具研究分析,目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。约覆盖全球 70% 的 Windows 服务器。
漏洞检测
以上三个漏洞的检测方案已同步在某公司安全服务平台,目前已检测到多个用户系统存在漏洞,检测报告如下:
修补方案
1、15日下午,微软官方发布公告,称对此次披露的大部分漏洞已经完成修补,在所有服务和补丁保证更新到最新版本的情况下,以下几个工具的攻击将不会受到影响。
公告链接:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=groupmessage&isappinstalled=0
2、在无法升级服务器的情况下,建议所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8,Win 10 ,全部使用防火墙过滤/关闭 137、139、445端口;对于 3389 远程登录,如果不想关闭的话,至少关闭智能卡登录功能。
3、某公司下一代防火墙用户,今晚十二点后升级IPS版本到20170415及其以上版本,可轻松防御针对以上三个漏洞的攻击。
针对其他泄露的工具,千里目安全实验室将会持续跟踪响应。
参考链接:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=groupmessage&isappinstalled=0
https://github.com/x0rz/EQGRP_Lost_in_Translation
某公司智安全专注做实用的安全,能够帮助组织更有效地检测并阻止安全威胁,降低IT业务创新过程中的各种风险,为您的网络、数据和组织提供全面保护,让每个组织的安全建设更有效、更简单。
发表于 2017-4-17 08:54
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
好厉害。
工程师1级