国家互联网应急中心关于影子经纪人系列漏洞预警通报
本月12日开始全球互联网遭受WannaCry蠕虫勒索病毒的感染,该病毒对我国互联网造成了严重的安全威胁。
国家互联网应急中心(以下简称CNCERT)和国内网络安全企业在分析后确认该病毒利用SMB漏洞进行传播。
同时可以判断这是由影子经纪人组织此前公开披露的漏洞攻击工具 而导致的后续勒索软件蠕虫病毒攻击事件。
2017年4月份影子经纪人组织在互联网上发布方程式组织的部分工具文件, 这些文件中包含多个软件的漏洞。
这些工具的集成化程度高同时攻击利用方式比较高效,因此可能会引发互联网上针对Windows的大规模攻击。
国家互联网应急中心已经在4月16日发布了漏洞预警,时隔数月 WannaCry 的爆发也印证当时推测的严重性。
针对影子经纪人阻止发布的大量安全漏洞 CNCERT 经过详细梳理并提供建议,提醒用户和企业做好应急准备。
Windows系统SMB协议相关漏洞及攻击工具
1、EternalBlue (永恒之蓝)
工具及漏洞说明:永恒之蓝是针对Windows系统SMB协议的漏洞利用程序,可攻击开放445端口的大量设备。
与该漏洞的相关细节信息等可以参微软公司发布的安全公告MS17-010号: Microsoft Security MS17-010。
受影响的软件及版本:Windows XP ~ Windows 10、 Windows Server 2003~Windows Server 2016。
该安全漏洞的安全更新及累积更新补丁的下载地址:https://www.landian.vip/archives/35623.html
2、Educatedscholar
工具及漏洞说明:该漏洞是针对 Windows 系统SMB协议的漏洞利用程序, 可攻击开放445端口的大量设备。
与该漏洞的相关细节信息等可参考微软公司发布的安全公告MS09-050号: Microsoft Security MS09-050。
受影响的软件及版本:Windows Vista所有版本、Windows Server 2008版。
该安全漏洞安全更新补丁下载地址:http://www.catalog.update.microsoft.com/Search.aspx?q=975517
3、Eternalsynergy
工具及漏洞说明:该漏洞针对 Windows SMBv3 的远程代码执行漏洞攻击,可攻击开放445端口的大量设备。
与该漏洞的相关细节信息等可参考微软公司发布的安全公告MS17-010号: Microsoft Security MS17-010。
受影响的软件及版本:Windows 8、Windows Server 2012
该安全漏洞安全更新补丁下载地址:http://www.catalog.update.microsoft.com/search.aspx?q=4012598
4、Emeraldthread
工具及漏洞说明:该漏洞针对 Windows SMBv1 的远程代码执行漏洞攻击,可攻击开放445端口的大量设备。
与该漏洞的相关细节信息等可参考微软公司发布的安全公告MS10-061号: Microsoft Security MS10-061。
可能受影响的软件版本: Windows XP~Windows 7、Windows Server 2003~Windows Server 2008 R2。
该安全漏洞安全更新补丁下载地址:http://www.catalog.update.microsoft.com/Search.aspx?q=2347290
5、Erraticgopher
工具及漏洞说明:该漏洞针对Windows SMBv1的远程代码执行漏洞攻击,Vista发布时已经修复该安全漏洞。
受影响的软件及版本:Windows XP、Windows Server 2003
6、Eternalromance
工具及漏洞说明:该漏洞针对 Windows SMBv1 的远程代码执行漏洞攻击,可攻击开放445端口的大量设备。
与该漏洞的相关细节信息等可参考微软公司发布的安全公告MS17-010号: Microsoft Security MS17-010。
可能受影响的软件版本: Windows XP~Windows 7、Windows Server 2003~Windows Server 2008 R2。
该安全漏洞安全更新补丁下载地址:http://www.catalog.update.microsoft.com/search.aspx?q=4012598
7、Eclipsedwing
工具及漏洞说明:该漏洞针对Windows操作系统中 SMB/NBT协议中可能允许远程执行代码的漏洞利用工具。
与该漏洞的相关细节信息等可参考微软公司发布的安全公告MS08-067号:Microsoft Security MS08-067。
可能受影响的软件版本: Windows XP、Windows Server 2003、Windows Vista以及Server 2008。
该安全漏洞安全更新补丁下载地址:http://www.catalog.update.microsoft.com/Search.aspx?q=958644
8、EternalChampion
工具及漏洞说明:该漏洞针对 Windows SMBv1 的远程代码执行漏洞攻击,可攻击开放445端口的大量设备。
与该漏洞的相关细节信息等可参考微软公司发布的安全公告MS17-010号: Microsoft Security MS17-010。
可能受影响的软件版本: Windows 所有版本
该安全漏洞安全更新补丁下载地址:http://www.catalog.update.microsoft.com/search.aspx?q=4012598
针对上述SMB等协议漏洞相关建议如下:
1、前往Windows系统控制面板---Windows 更新---即使更新和安装微软公司已经发布的安全补丁;
2、通过防火墙严格控制135/137/139/445等端口的外部网络权限,如果不使用上述端口请及时关闭;
3、加强对135/137/139/445等端口的内部网络区域访问升级,及时发现非授权行为和潜在的攻击行为;
4、微软已经对Windows XP、Server 2003、Vista等系统停止更新,建议对此类主机进行重点排查。
针对Windows系统RDP、IIS、Kerberos协议相关漏洞:
1、Esteemaudit
工具及漏洞说明:该工具是针对3389端口的远程溢出漏洞,利用Win远程桌面访问RDP协议缺陷来实施攻击。
受影响的产品及版本:目前已知可能受影响的操作系统包括Windows XP和Windows Server 2003系统。
应对建议:
微软已经停止对上述操作系统的支持,使用该版本且开放RDP3389端口的计算机用户需要尽快开展处置措施。
a.如果不需要远程访问建议关闭远程协助功能和远程桌面访问, 配置防火墙规则直接拦截RDP默认端口访问。
b.如果业务需要开启远程访问建议配置防火墙规则只允许信任的白名单IP地址访问, 或者修改服务端口3389。
c.由于微软已经对上述操作系统的支持, 使用该版本的用户应该及时升级并且进行重点排查防止潜在的攻击。
2、Eskimoroll
工具及漏洞说明:这是利用Kerberos协议允许特权提升的Kerberos漏洞工具工具,可能影响Windows域控。
与该漏洞的相关细节信息等可参考微软公司发布的安全公告MS14-068号: Microsoft Security MS14-068。
受影响的产品及版本:Windows 2000、Windows Server 2003 / 2008 / 2008 R2 / 2012 / 2012 R2
应对建议:针对受支持的版本请及时安装安全更新封堵漏洞并防火墙加强对TCP 88端口的控制。
3、Explodingcan
工具及漏洞说明:该工具只要是针对 Windows Server 2003 IIS6.0 的远程工具,但需主机开启 WebDAV。
受影响的产品及版本:Windows Server 2003 IIS 6.0 且 开启WebDAV
应对建议:微软已经停止支持Windows Server 2003,建议使用该版系统的用户关闭WebDAV并升级系统。
其他应急措施
除了上述针对各类利用漏洞的防护建议外特别提醒Windows XP和Server2003用户进行安全控制和系统更新。
建议用户在网络边界、内部网络区域、 主机资产、数据备份方面做好如下应急措施避免和降低网络攻击风险。
1、做好本单位Windows XP和Windows Server 2003主机的安全排查与网络访问管控;
2、升级更新终端安全防护软件并加强网络和主机的安全防护避免和降低网络攻击带来的风险;
3、做好信息系统业务和文件数据在不同存储介质上的安全可靠备份,避免文件遭到损毁。
国家互联网应急中心将会对利用漏洞的行为进行相关检测和攻击监测,同时将会继续跟踪漏洞事件后续情况。
如需技术支援请联系国家互联网应急中心,电子邮箱:cncert@cert.org.cn 联系电话:010-8299-0999