Windows血崩,一波大規模 0day 攻擊洩漏,請運維穩定好情緒
2017.4.16 運維派補充:
運維派已根據微軟官網釋出針對Windows系統0day漏洞的處理建議:《Windows遠端命令執行0day漏洞的安全預警及其處理建議》
一大早起床是不是覺得陽光明媚歲月靜好?然而網路空間剛剛誕生了一波核彈級爆炸!Shadow Brokers再次洩露出一份震驚世界的機密文件,其中包含了多個精美的 Windows 遠端漏洞利用工具,可以覆蓋大量的 Windows 伺服器,一夜之間所有Windows伺服器幾乎全線暴露在危險之中,任何人都可以直接下載並遠端攻擊利用,考慮到國內不少高校、政府、國企甚至還有一些網際網路公司還在使用 Windows 伺服器,這次事件影響力堪稱網路大地震。
目前已知受影響的 Windows 版本包括但不限於:Windows NT,Windows 2000(沒錯,古董也支援)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
故事還要從一年前說起,2016 年 8 月有一個 “Shadow Brokers” 的黑客組織號稱入侵了方程式組織竊取了大量機密檔案,並將部分檔案公開到了網際網路上,方程式(Equation Group)據稱是 NSA(美國國家安全域性)下屬的黑客組織,有著極高的技術手段。這部分被公開的檔案包括不少隱蔽的地下的黑客工具。另外 “Shadow Brokers” 還保留了部分檔案,打算以公開拍賣的形式出售給出價最高的競價者,“Shadow Brokers” 預期的價格是 100 萬比特幣(價值接近5億美金)。這一切聽起來難以置信,以至於當時有不少安全專家對此事件保持懷疑態度,“Shadow Brokers” 的拍賣也因此一直沒有成功。
北京時間 2017 年 4 月 14 日晚,“Shadow Brokers” 終於忍不住了,在推特上放出了他們當時保留的部分檔案,解壓密碼是 “Reeeeeeeeeeeeeee”。
這次的檔案有三個目錄,分別為“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具(我們挑幾個重要的列舉如下):
- EXPLODINGCAN 是 IIS 6.0 遠端漏洞利用工具
- ETERNALROMANCE 是 SMB1 的重量級利用,可以攻擊開放了 445 埠的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 並提升至系統許可權。
- 除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程式,可以攻擊開放了 445 埠的 Windows 機器。
- ESTEEMAUDIT 是 RDP 服務的遠端漏洞利用工具,可以攻擊開放了3389 埠且開啟了智慧卡登陸的 Windows XP 和 Windows 2003 機器。
- FUZZBUNCH 是一個類似 MetaSploit 的漏洞利用平臺。
- ODDJOB 是無法被防毒軟體檢測的 Rootkit 利用工具。
- ECLIPSEDWING 是 Windows 伺服器的遠端漏洞利用工具。
- ESKIMOROLL 是 Kerberos 的漏洞利用攻擊,可以攻擊 Windows 2000/2003/2008/2008 R2 的域控制器。
不放不要緊,放出來嚇壞了一眾小夥伴。這些檔案包含多個 Windows 神洞的利用工具,只要 Windows 伺服器開了135、445、3389 其中的埠之一,有很大概率可以直接被攻擊,這相比於當年的 MS08-067 漏洞有過之而無不及啊,如此神洞已經好久沒有再江湖上出現過了。
掏出 Exp 試了一波,果然是一打一個準,這些工具的截圖如下:
除 Windows 以外,“Shadow Brokers” 洩露的資料還顯示方程式攻擊了中東一些使用了 Swift 銀行結算系統的銀行。
緩解措施
所有 Windows 伺服器、個人電腦,包括 XP/2003/Win7/Win8,Win 10 最好也不要漏過,全部使用防火牆過濾/關閉 137、139、445埠;對於 3389 遠端登入,如果不想關閉的話,至少要關閉智慧卡登入功能。
剩下的就是請穩定好情緒,坐等微軟出補丁。
2017.4.16 運維派補充:
運維派已根據微軟官網釋出針對Windows系統0day漏洞的處理建議:《Windows遠端命令執行0day漏洞的安全預警及其處理建議》