澳门新葡8455最新网站

您现在的位置:澳门新葡8455最新网站 - 信息公告信息公告
关于警惕“影子经纪人”事件系列漏洞威胁的预警通报
发布时间:2017-05-13  编辑:教辅部门之信息中心  

 北京时间5月12日,全球互联网遭受Wannacry勒索App蠕虫感染。截止17日16时,CNCERT监测发现全球近356.3万个IP地址遭受“永恒之蓝”SMB漏洞攻击,其中位于我国境内的IP地址数量接近12.5万个,对我国互联网造成严重的安全威胁。综合CNCERT和国内网络安全企业已获知的样本情况和分析结果,该勒索App蠕虫在传播时基于445端口并利用SMB漏洞(对应MicroSoft漏洞公告:MS17-010),可以判断是由于“影子经纪人”(Shadow Brokers)组织此前公开披露漏洞攻击工具而导致的后续勒索App蠕虫攻击。

         2017年4月14日晚,“影子经纪人”组织在互联网上发布“方程式”(Equation Group)组织的部分工具文件,包含针对Windows操作系统以及其他办公、邮件App的多个高危漏洞攻击工具,这些工具集成化程度高、部分攻击利用方式较为高效。针对可能引发的互联网上针对Window操作系统主机或应用App的大规模攻击,4月16日,CNCERT主办国家信息安全漏洞共享平台(CNVD)发布《关于加强防范Windows操作系统和相关App漏洞攻击风险的情况公告》(访问链接:http://www.cnvd.org.cn/webinfo/show/4110)。时隔不到一个月,Wannacry勒索App蠕虫大范围感染事件也印证了当时推测的严重危害。

         针对“影子经纪人”发布的黑客使用的大量针对Windows操作系统以及其他广泛应用的App产品的工程化工具及其对应的利用安全漏洞,CNCERT进行了详细梳理,并提供相应处置建议,提醒广大互联网用户及时做好应急处置,避免被恶意攻击或利用。

         一、“影子经纪人”组织披露的系列漏洞描述

       (一)Windows操作系统SMB协议相关漏洞及攻击工具(共8个)

       1、ETERNALBLUE(“永恒之蓝”)

        工具及漏洞说明:ETERNALBLUE是针对Windows系统SMB协议的漏洞利用程序,可以攻击开放445 端口的大部分Windows主机。对应漏洞的相关信息可参考微软安全公告MS17-010(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。

        受影响App及版本:Windows XP至Windows 2012。

        补丁文件下载地址:Windows安全更新程序 (KB4012598),http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        2、Educatedscholar 

        工具及漏洞说明:Educatedscholar是针对Windows系统SMB 协议的漏洞利用程序,可以攻击开放445 端口的特定版本Windows 主机。对应漏洞的相关信息可参考MicroSoft安全公告MS09-050(https://technet.microsoft.com/library/security/ms09-050)。

        受影响App及版本:Windows Vista、Windows Vista SP1 和 Windows Vista SP2;Windows Server 2008、Windows Server 2008 SP2。

        补丁文件下载地址:Windows安全更新程序 (KB975517),http://www.catalog.update.microsoft.com/Search.aspx?q=975517

        3、Eternalsynergy

        工具及漏洞说明:Eternalsynergy是针对Windows系统SMBv3协议的远程代码实行漏洞攻击工具,可以攻击开放445 端口的特定版本Windows 主机。对应漏洞的相关信息可参考微软 安全公告 MS17-010(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。

        受影响产品及版本:Windows 8和Windows Server 2012。

        补丁文件下载地址:Windows安全更新程序 (KB4012598),http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        4、Emeraldthread 

        工具及漏洞说明:Emeraldthread是针对Windows系统SMBv1协议允许远程实行代码的漏洞攻击工具。对应漏洞的相关信息可参考微软 安全公告 MS10-061(https://technet.microsoft.com/zh-cn/library/security/ms10-061.aspx)。

        受影响产品及版本:可能影响Windows XP、2003、Vista、2008、Windows7、2008 R2。 

        补丁下载地址:Windows安全更新程序 (KB2347290), http://www.catalog.update.microsoft.com/Search.aspx?q=2347290

        5、Erraticgopher 

        工具及漏洞说明:Erraticgopher是针对Windows系统SMBv1协议的漏洞攻击工具, Windows Vista发布的时候已经修复该漏洞,但之前的版本可能受影响。

        受影响产品及版本:Windows XP和Windows Server 2003。

        6、Eternalromance 

        工具及漏洞说明:Eternalromance是针对Windows系统SMBv1协议的漏洞攻击工具,可能影响大部分Windows版本。对应漏洞的相关信息可参考微软 安全公告 MS17-010(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。

        受影响产品及版本:Windows XP/Vista/7/2003/2008。

        补丁文件下载地址:Windows安全更新程序 (KB4012598),http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        7、Eclipsedwing 

        工具及漏洞说明:Eclipsedwing是针对Windows系统SMB/NBT协议中可能允许远程实行代码的漏洞利用工具,对应漏洞的相关信息见微软 安全公告 MS08-067(https://technet.microsoft.com/library/security/ms08-067)。

        受影响产品及版本:Windows XP/2003/2008。

        补丁下载地址:Windows安全更新程序 (KB958644),http://www.catalog.update.microsoft.com/Search.aspx?q=958644

        8、EternalChampion

        工具及漏洞说明:EternalChampion是针对Windows系统SMBv1协议的漏洞攻击工具,可能影响大部分Windows版本。对应漏洞的相关信息可参考微软 安全公告 MS17-010(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。

        受影响产品及版本:全平台Windows。

        补丁文件下载地址:Windows安全更新程序 (KB4012598),http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        针对上述SMB等协议相关漏洞及攻击工具的相关建议如下:

      (1)及时更新和安装Windows已发布的安全补丁;

      (2)关闭135、137、139、445等端口的外部网络访问权限,在主机上关闭不必要的上述服务端口;

      (3)加强对135、137、139、445等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;

      (4)由于MicroSoft对部分操作系统停止对Window XP和Windows server 2003的安全更新,建议对这两类操作系统主机重点进行排查。针对上述漏洞,Window XP和Windows Server 2003用户以及其他无法直接使用Windows自动更新功能的用户可根据Windows系统和版本自行从MicroSoft官网(见上述各个漏洞工具描述中提供的补丁下载地址链接)下载补丁文件并安装。

      (二)Windows系统RDP、IIS、Kerberos协议相关漏洞及攻击工具(共3个)

        1、Esteemaudit 

       工具及漏洞说明:ESTEEMAUDIT是一个针对3389端口的远程溢出程序,它利用Windows 远程桌面访问RDP协议缺陷实施攻击。

       受影响产品及版本:目前已知可能受影响的操作系统是Windows XP和Windows Server 2003。

        应对建议:由于MicroSoft企业已经停止对Windows XP和Windows Server 2003的安全更新,使用这两种版本操作系统并且开放RDP3389端口服务的计算机用户需要尽快开展处置措施。

      (1)如不需要远程访问,建议关闭远程协助功能和远程桌面访问,开启网络防火墙、Windows防火墙拦截RDP默认端口的访问;

      (2)如果业务需要开启远程访问,建议配置网络防火墙或Windows防火墙只允许信任的白名单IP地址的访问,或者将RDP服务端口3389配置(映射)为其他非常用端口;

      (3)由于MicroSoft对部分操作系统停止对Window XP和Windows server 2003的安全更新,建议对这两类操作系统主机重点进行排查。

         2、Eskimoroll  

        工具及漏洞说明:Eskimoroll是 Kerberos协议允许特权提升的Kerberos漏洞攻击工具,可能影响Windows域控服务。详细情况可参考MicroSoft安全公告MS14-068(https://technet.microsoft.com/zh-cn/library/security/ms14-068.aspx)。

        受影响产品及版本:Windows 2000/2003/2008/2012。

        补丁下载地址:Windows安全更新程序 (KB3011780),http://www.catalog.update.microsoft.com/Search.aspx?q=3011780

        应对建议:针对Windows 2003/2008/2012,下载和升级系统补丁,并在防火墙中配置tcp 88端口的安全访问控制。针对不提供升级更新支撑的Windows 2000,建议重点进行排查。

        3、Explodingcan

        工具及漏洞说明:Explodingcan是针对Windows 2003系统 IIS6.0服务的远程攻击工具,但需要目标主机开启WEBDAV才能攻击,不支撑安全补丁更新。

        受影响产品及版本:Windows 2003 IIS6.0(开启WEBDAV)。

        应对建议:MicroSoft不再支撑Windows 2003系统安全更新,建议关闭WEBDAV,使用WAF、IPS等安全防护,或者升级操作系统。

       (三)办公App及邮件系统相关漏洞及攻击工具(共4个)

       1、Easybee  

        工具及漏洞说明:针对邮件系统MDaemon远程代码实行漏洞的利用工具。

        受影响产品及版本:受影响的MDaemon是美国Alt-N企业开发的一款标准SMTP/POP/IMAP邮件系统。

        较旧的不受支撑的版本(9.x–11.x)可能容易受到EasyBee攻击。

        版本12.x和13.0可能容易受到EasyBee使用的漏洞利用影响。

        版本13.5和更新版本不容易受到攻击。

        应对建议:将所有旧的、不受支撑的MDaemon版本升级到最新的、安全的版本。参考官方网站http://www.altn.com/Support/进行漏洞升级。

        2、Englishmansdentist 

        工具及漏洞说明:针对Outlook Exchange邮件系统的漏洞利用程序,可攻击开放http 80或https 443端口提供web访问的Outlook Exchange邮件系统。

        受影响产品及版本:Outlook Exchange邮件系统早期版本Exchange 2003,Exchange 2007。

       应对建议:升级到Exchange 2010及以上版本,安全备份邮件数据。

        3、Ewokfrenzy

        工具及漏洞说明:针对 Lotus DominoAppIMAP服务的漏洞攻击工具。

        受影响产品及版本:IBM Lotus Domino 6.5.4 to 7.0.2。

        应对建议: 升级最新、安全的版本或使用其他替代产品,安全备份邮件数据。

        4、Emphasismine 

       工具及漏洞说明:针对 Lotus DominoAppIMAP服务的漏洞攻击工具。

        受影响产品及版本:Lotus Domino 6.5.4, 6.5.5, 7.0-8.5.2。

        应对建议: 升级最新、安全的版本或使用其他替代产品,安全备份邮件数据。

        二、其他应急措施

        除了上述针对各类利用漏洞的防护建议外,特别是针对Windows XP和Windows 2003等停止更新服务的系统,建议广大用户在网络边界、内部网络区域、主机资产、数据备份方面还要做好如下应急措施工作,避免和降低网络攻击风险:

       (一)做好本单位Windows XP和Windows 2003主机的排查;

       (二)升级更新终端安全防护App,加强网络和主机的安全防护。

       (三)做好信息系统业务和文件数据在不同存储介质上的安全可靠备份。

上一条:两高发布司法说明 严格办理侵犯公民个人信息刑事案件
下一条:北京成立网络与信息安全信息通报中心 实时监测网络安全

关闭

澳门新葡8455最新网站版权所有 技术支撑:佳豪科技

XML 地图 | Sitemap 地图