方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)漏洞修复

杂文Shadow Brokers,Windows,漏洞

国外黑客组织Shadow Brokers泄露出了一份机密文档,其中包含了多个Windows 0Day远程漏洞利用工具外部攻击者利用此工具可远程攻击并获取服务器控制权限,该漏洞影响极大

目前已知受影响的Windows版本包括但不限于(目前大量windows服务操作系统版本均在受影响之列)
Windows NT
Windows 2000
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows 8
Windows 2008
Windows 2008 R2
Windows Server 2012 SP0
【风险等级】
  高风险
【漏洞风险】
  黑客可以通过发布的工具远程攻击服务器。
【影响服务】
  主要影响SMB和RDP服务
【漏洞验证】
确定服务器是否对外开启了137、139、445端口
测试方法:服务器命令行窗口执行netstat -an查看是否有相应对口开放,同时亦可以通过访问http://tool.chinaz.com/port/(输入IP,下面填入137,139,445,3389)判断服务端口是否对外开启。注意:rdp是远程桌面服务,不局限于3389端口,如果您的windows远程桌面使用了其他端口,也在受影响之列。
【漏洞修复建议】
1、推荐方案:更新官方补丁
截至目前,方程式组织所使用的大部分漏洞均官方均已发布相关补丁,建议更新相关补丁。攻击工具所对应的补丁列表如下:
工具名称解决措施
“EternalBlue”Addressed by MS17-010
“EmeraldThread”Addressed by MS10-061
EternalChampionAddressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher”Addressed prior  to the release of Windows Vista
“EsikmoRoll”Addressed by MS14-068
“EternalRomance”Addressed by MS17-010
“EducatedScholar”Addressed by MS09-050
“EternalSynergy”Addressed by MS17-010
“EclipsedWing”Addressed by MS08-067
2、临时解决方案(两种方案):
4月28日更新方案 1)
1)为了保证系统的安全性,建议关闭安全组的【TCP协议下 137、139、445端口全部入网规则】、【UDP协议下137、445端口全部入网规则】,另外限制远程登录源IP地址,一般端口默认为:3389。

11.png
22.png

2) 针对windows2008版本及以上的系统可以临时关闭相应服务操作步骤如下:
a:未修复之前截图如下:

3333.png 

b:修复操作如下:禁止windows共享,卸载下图两个组件此操作的目的是禁止445端口

4444.png 

(实施完毕后,需要重启系统生效,操作前根据对业务的影响情况进行评估)
c:禁止netbios此操作的目的是禁止137,139端口

5555.png 

重启后我们看到137,139,445端口全部关闭。

6666.png 

d:关闭远程智能卡此操作的目的是关闭windows智能卡功能,避免rdp服务被攻击利用
更新(关于工具包所针对的主机端口):
  • Explodingcan IIS 漏洞利用工具,只对 Windows 2003有影响
  • Eternalromance SMB 和 NBT 漏洞利用工具,影响端口139 和445
  • Emphasismine 通过 IMAP漏洞攻击,攻击的默认端口为143
  • Englishmansdentist 通过 SMTP 漏洞攻击,默认端口25
  • Erraticgopher 通过 RPC 漏洞攻击,端口为445
  • Eskimoroll 通过 kerberos 漏洞进行攻击,默认攻击端口88
  • Eclipsedwing MS08-67 漏洞利用工具
  • Educatedscholar MS09-050 漏洞利用工具
  • Emeraldthread MB 和 Netbios 漏洞利用工具,使用445 端口和139 端口
  • Zippybeer SMTP 漏洞利用工具,默认端口445
  • Eternalsynergy SMB 漏洞利用工具,默认端口445
  • Esteemaudit RDP 漏洞利用工具,默认攻击端口为3389

Posted by 柴郡猫