文章摘要： 近日，Shadow Brokers（影子經(jīng)紀(jì)人）組織在互聯(lián)網(wǎng)上發(fā)布了此前獲得的部…

1、CNNVD關(guān)于多個(gè)微軟產(chǎn)品漏洞的通報(bào)

　　近日，Shadow Brokers（影子經(jīng)紀(jì)人）組織在互聯(lián)網(wǎng)上發(fā)布了此前獲得的部分方程式黑客組織（Equation Group）的文件信息，其中包含多款針對MicrosoftWindows操作系統(tǒng)以及其他服務(wù)器系統(tǒng)軟件開發(fā)的漏洞利用工具。由于上述工具所使用的漏洞危害程度高、利用方式簡單且攻擊成功率高，對國家政企單位重要信息關(guān)鍵基礎(chǔ)設(shè)施可能造成重大影響。

　　為此，國家信息安全漏洞庫（CNNVD）對此進(jìn)行了跟蹤分析，對所涉及的漏洞信息進(jìn)行重要預(yù)警，情況如下：

一、漏洞簡介

　　MicrosoftWindows是美國微軟（Microsoft）公司發(fā)布的一系列操作系統(tǒng)。

本次共涉及Windows操作系統(tǒng)漏洞信息12個(gè)（漏洞詳情見附件一），通過泄露的利用工具，攻擊者可利用上述漏洞對Windows操作系統(tǒng)遠(yuǎn)程執(zhí)行惡意代碼。

漏洞編號如下：

超危漏洞9個(gè)：

CNNVD-201703-726、CNNVD-201703-725、CNNVD-201703-724、CNNVD-201703-723、CNNVD-201703-721、CNNVD-201009-132、CNNVD-200910-232、CNNVD-200909-131、CNNVD-200810-406。

高危漏洞1個(gè)：

CNNVD-200910-226。

中危漏洞2個(gè)：

CNNVD-201703-722、CNNVD-201411-318。

以上漏洞影響包括但不限于Windows XP 、Windows 2000、Windows Vista、Windows 7、Windows 8、WindowsServer 2008、Windows Server 2012等多個(gè)微軟重要產(chǎn)品。

二、影響范圍

截止目前，根據(jù)統(tǒng)計(jì)顯示：

1、全球可能受到影響的Windows操作系統(tǒng)主機(jī)超過750萬臺。其中，約有542萬的RDP服務(wù)和約有208萬的SMB協(xié)議服務(wù)運(yùn)行在Ｗindows上。

2、我國可能受到影響的Windows操作系統(tǒng)主機(jī)超過133萬。其中，約有超過101萬的RDP服務(wù)和超過32萬的SMB協(xié)議服務(wù)運(yùn)行在Ｗindows上。

三、修復(fù)措施

目前，微軟官方已發(fā)表聲明，涉及的大部分漏洞已在微軟支持的產(chǎn)品中修復(fù)并發(fā)布安全公告。請用戶及時(shí)檢查是否受到漏洞影響。如確認(rèn)受到相關(guān)漏洞影響，可采取以下措施：

(一)   升級修復(fù)

受影響用戶可根據(jù)以下解決方案中相關(guān)信息進(jìn)行升級（補(bǔ)丁鏈接見附件二），微軟官方公告的解決方案對應(yīng)表如下所示：

　　另外，使用Window XP和Windowsserver 2003操作系統(tǒng)的主機(jī)，應(yīng)及時(shí)排查并盡快遷移重要數(shù)據(jù)，以消除漏洞隱患。

(二)   臨時(shí)緩解

如用戶不方便升級，可采取以下臨時(shí)解決方案：

１.關(guān)閉Windows Server 137、139、445、3389端口。若3389端口必須開啟，則關(guān)閉Windows Server智能卡登陸功能。

２. 加強(qiáng)訪問控制策略，尤其針對137、139、445、3389端口。同時(shí)加強(qiáng)對以上端口的內(nèi)網(wǎng)審計(jì)，消除可能存在的安全隱患。3.  及時(shí)更新相關(guān)的終端安全軟件確保添加件

附件一漏洞詳情

附件二 補(bǔ)丁鏈接

2、ShadowBrokers方程式工具包淺析，揭秘方程式組織工具包的前世今生

　　今日，臭名昭著的方程式組織工具包再次被公開，TheShadowBrokers在steemit.com博客上提供了相關(guān)消息。據(jù)此，騰訊云鼎實(shí)驗(yàn)室對此進(jìn)行了分析。本次被公開的工具包大小為117.9MB，包含23個(gè)黑客工具，其中部分文件顯示NSA曾入侵中東SWIFT銀行系統(tǒng)，工具包下載接見文后參考信息。

解密后的工具包：

　　其中Windows目錄包括Windows利用工具和相關(guān)攻擊代碼，swift目錄中是銀行攻擊的一些證據(jù)，oddjob目錄是植入后門等相關(guān)文檔。

Windows 目錄：

　　Windows目錄下包含了各種漏洞利用工具，在exploits中包含了豐富的漏洞利用工具，可影響windows多個(gè)平臺。

其中有三個(gè)目錄較為重要：

A、Exploits：

包含了很多漏洞利用工具，這里摘取一些進(jìn)行簡要介紹：

　　經(jīng)過初步梳理，重點(diǎn)關(guān)注對winserver有影響的幾個(gè)工具，更多工具展示見參考3。

Explodingcan IIS漏洞利用工具,只對Windows 2003有影響

Eternalromance   SMB 和 NBT漏洞利用工具，影響端口139和445 

Emphasismine   通過IMAP漏洞攻擊，攻擊的默認(rèn)端口為143

Englishmansdentist   通過SMTP漏洞攻擊，默認(rèn)端口25

Erraticgopher 通過RPC漏洞攻擊，端口為445

Eskimoroll   通過kerberos漏洞進(jìn)行攻擊，默認(rèn)攻擊端口88

Eclipsedwing   MS08-67漏洞利用工具

Educatedscholar   MS09-050漏洞利用工具

Emeraldthread MB和 Netbios 漏洞利用工具，使用445端口和 139端口

Zippybeer   SMTP漏洞利用工具，默認(rèn)端口 445

Eternalsynergy   SMB漏洞利用工具，默認(rèn)端口 445

Esteemaudit  RDP漏洞利用工具，默認(rèn)攻擊端口為3389

B、FUZZBUNCH：

是一個(gè)類似 MSF的漏洞利用平臺工具，python編寫。

C、Specials：

ETERNALBLUE ：利用SMB漏洞，攻擊開放445端口的windows機(jī)器。

影響范圍如圖：

ETERNALCHAMPION ：利用SMB漏洞，攻擊開放445端口的windows機(jī)器。

影響范圍如圖：

可以看出，其中多個(gè)工具，對于windowsserver系統(tǒng)均有覆蓋。

ODDJOB目錄：

支持向如下系統(tǒng)中植入后門代碼，可以對抗avira和norton的檢測。

工具包中提供了一個(gè)常見反病毒引擎的檢測結(jié)論。

存放一些金融信息系統(tǒng)被攻擊的一些信息。部分被入侵的機(jī)器信息如下：

下面excel文件表明，方程式組織可能對埃及、迪拜、比利時(shí)的銀行有入侵的行為。

其中一個(gè)入侵日志：

對我們的警示：

　　本次公開的工具包中，包含多個(gè)Windows 漏洞的利用工具，只要Windows服務(wù)器開了25、88、139、445、3389 等端口之一，就有可能被黑客攻擊，其中影響尤為嚴(yán)重的是445和3389端口。在未來的一段時(shí)間內(nèi)，互聯(lián)網(wǎng)上利用這些公開的工具進(jìn)行攻擊的情況會比較多，除了提醒用戶，發(fā)布預(yù)警外，需要加強(qiáng)入侵監(jiān)控和攻擊防范。

臨時(shí)緩解措施：

1）升級系統(tǒng)補(bǔ)丁，確保補(bǔ)丁更新到最新版本。

2）使用防火墻、或者安全組配置安全策略，屏蔽對包括445、3389在內(nèi)的系統(tǒng)端口訪問。

參考附錄：

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation

https://github.com/x0rz/EQGRP_Lost_in_Translation

https://zhuanlan.zhihu.com/p/26375989

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/