关于方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)预警

[复制链接]
1088 0
admin 发表于 2017-5-5 21:31:39 | 只看该作者 |阅读模式 打印 上一主题 下一主题
2017年4月15日,国外黑客组织Shadow Brokers泄露出了一份机密文档,其中包含了多个Windows 0Day远程漏洞利用工具外部攻击者利用此工具可远程攻击并获取服务器控制权限,该漏洞影响极大

目前已知受影响的Windows版本包括但不限于(目前大量windows服务操作系统版本均在受影响之列)
Windows NT
Windows 2000
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows 8
Windows 2008
Windows 2008 R2
Windows Server 2012 SP0

为保证您在腾讯云上的业务安全,请您务必及时关注该漏洞并开展相应的安全整改措施,此次风险描述及修复方案如下:

【风险等级】
  高风险

【漏洞风险】
  黑客可以通过发布的工具远程攻击服务器。

【影响服务】
  主要影响SMB和RDP服务

【漏洞验证】
确定服务器是否对外开启了137、139、445端口
测试方法:服务器命令行窗口执行netstat -an查看是否有相应对口开放,同时亦可以通过访问http://tool.chinaz.com/port/(输入IP,下面填入137,139,445,3389)判断服务端口是否对外开启。注意:rdp是远程桌面服务,不局限于3389端口,如果您的windows远程桌面使用了其他端口,也在受影响之列。

【漏洞修复建议】
1、推荐方案:更新官方补丁
截至目前,方程式组织所使用的大部分漏洞均官方均已发布相关补丁,强烈建议您更新相关补丁。攻击工具所对应的补丁列表如下:
工具名称解决措施
“EternalBlue”Addressed by MS17-010
“EmeraldThread”Addressed by MS10-061
EternalChampionAddressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher”Addressed prior  to the release of Windows Vista
“EsikmoRoll”Addressed by MS14-068
“EternalRomance”Addressed by MS17-010
“EducatedScholar”Addressed by MS09-050
“EternalSynergy”Addressed by MS17-010
“EclipsedWing”Addressed by MS08-067

若您的服务器暂时不方便更新补丁,腾讯云推荐的临时解决方案如下:

2、临时解决方案(两种方案):
4月19日更新方案 1)
1)为了保证系统的安全性,我们建议您关闭安全组的【TCP协议下 137、139、445端口全部入网规则】、【UDP协议下137、445端口全部入网规则】,另外限制远程登录源IP地址,一般端口默认为:3389。
目前腾讯云控制台发布了此漏洞的一键规避工具,如果您业务上没有使用137、139、445端口,可登录【CVM控制台】-【安全组】-【编辑规则】使用工具一键规避此漏洞风险。
关于方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)预警,三色源码网
关于方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)预警,三色源码网

2) 针对windows2008版本及以上的系统可以临时关闭相应服务操作步骤如下:
a:未修复之前截图如下:
关于方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)预警,三色源码网

b:修复操作如下:禁止windows共享,卸载下图两个组件此操作的目的是禁止445端口
关于方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)预警,三色源码网
(实施完毕后,需要重启系统生效,操作前请您根据对业务的影响情况进行评估)

c:禁止netbios此操作的目的是禁止137,139端口
关于方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)预警,三色源码网
重启后我们看到137,139,445端口全部关闭。
关于方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)预警,三色源码网

d:关闭远程智能卡此操作的目的是关闭windows智能卡功能,避免rdp服务被攻击利用

历史方案保存:2、临时解决方案(两种方案):
1) 利用腾讯云安全组配置安全防护规则,操作如下:
下图为利用安全组限制可以远程访问的3389端口的源IP。
关于方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)预警,三色源码网
下图为利用安全组禁用137,139,445端口。

关于方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)预警,三色源码网



温馨提示:资源转载网络个人收藏,如有侵权或下载链接失效或密码不对请联系站长

1、在论坛里发表的文章仅代表作者本人的观点,与本网站立场无关。
2、论坛的所有内容都不保证其准确性,有效性,时间性。阅读本站内容因误导等因素而造成的损失本站不承担连带责任。
3、当政府机关依照法定程序要求披露信息时,论坛均得免责。
4、若因线路及非本站所能控制范围的故障导致暂停服务期间造成的一切不便与损失,论坛不负任何责任。
5、注册会员通过任何手段和方法针对论坛进行破坏,我们有权对其行为作出处理。并保留进一步追究其责任的权利。
收藏
收藏0
回复

使用道具 举报

*滑块验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

专注源码资源免费分享
只要有下载币全站均可下

私人收藏网站非买卖网站

周一至周日9:00-23:00

反馈建议

282865654@qq.com 在线QQ咨询

赞助我们享尊贵分享

Powered by X3.3© 2019-2029 3se.cc Inc.( 京ICP备14050279号-2