網絡安全領域“爆炸”
4月15日,Monster@長亭科技 率先曝光“Shadow Brokers再次洩露出一份震驚世界的機密文檔,其中包含了多個精美的 Windows 遠程漏洞利用工具,可以覆蓋全球 70% 的 Windows 服務器,一夜之間所有Windows服務器幾乎全線暴露在危險之中,任何人都可以直接下載並遠程攻擊利用,考慮到國內不少高校、政府、國企甚至還有一些互聯網公司還在使用 Windows 服務器,這次事件影響力堪稱網絡大地震。”
目前已知受影響的 Windows 版本包括但不限於:Windows NT,Windows 2000(沒錯,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
Shadow Brokers 是什麼黑客?
故事還要從一年前說起,2016 年 8 月有一個 “Shadow Brokers” 的黑客組織號稱入侵了方程式組織竊取了大量機密文件,並將部分文件公開到了互聯網上,方程式(Equation Group)據稱是 NSA(美國國家安全局)下屬的黑客組織,有著極高的技術手段。這部分被公開的文件包括不少隱蔽的地下的黑客工具。另外 “Shadow Brokers” 還保留了部分文件,打算以公開拍賣的形式出售給出價最高的競價者,“Shadow Brokers” 預期的價格是 100 萬比特幣(價值接近5億mei’y)。這一切聽起來難以置信,以至於當時有不少安全專家對此事件保持懷疑態度,“Shadow Brokers” 的拍賣也因此一直沒有成功。
漏洞有多厲害?
北京時間 2017 年 4 月 14 日晚,“Shadow Brokers” 終於忍不住了,在推特上放出了他們當時保留的部分文件,解壓密碼是 “Reeeeeeeeeeeeeee”。
這次的文件有三個目錄,分別為“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具。
我們挑幾個重要的列舉如下:
EXPLODINGCAN 是 IIS 6.0 遠程漏洞利用工具
ETERNALROMANCE 是 SMB1 的重量級利用,可以攻擊開放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 並提升至系統權限。
除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序,可以攻擊開放了 445 端口的 Windows 機器。
ESTEEMAUDIT 是 RDP 服務的遠程漏洞利用工具,可以攻擊開放了3389 端口的 Windows 機器。
FUZZBUNCH 是一個類似 MetaSploit 的漏洞利用平臺。
ODDJOB 是無法被殺毒軟件檢測的 Rootkit 利用工具。
ECLIPSEDWING 是 Windows 服務器的遠程漏洞利用工具。
ESKIMOROLL 是 Kerberos 的漏洞利用攻擊,可以攻擊 Windows 2000/2003/2008/2008 R2 的域控制器。
不放不要緊,放出來嚇壞了一眾小夥伴。這些文件包含多個 Windows 漏洞的利用工具,只要 Windows 服務器開了135、445、3389 其中的端口之一,有很大概率可以直接被攻擊,這相比於當年的 MS08-067 漏洞有過之而無不及啊,如此神洞已經好久沒有再江湖上出現過了。
Monster@長亭科技 掏出 Exp 試了一波,果然是一打一個準,這些工具的截圖如下:
對企業用戶有啥影響?
據曝此次漏洞可以攻擊到全球70%的windows服務器和系統,其中災難區是windows2003服務器,雖然微軟早已經對其停止服務,但是其因為是免費,有眾多企業仍採用的是windows2003服務器。微軟不更新補丁的話,會有很大危害。
很可怕的是,你可以看到,這次是週末放出的漏洞,週末黑產人員是不會休息的,但很多安全公司週末是放假的,十六七個小時過去了,自家服務器是不是已經被利用了很難說。不過,需要指出的一點是,針對銀行系統儲戶信息是否可能洩露的問題,我瞭解到的是——得看 Windows服務器上是不是有這種數據庫,這些重要數據一般都在 Unix 系統上,或者在 IBM 的小型機上。
據360公司態勢感知方面的專家張翀斌在網絡上表示:銀行的核心繫統一般確實不採用 Windows ,但辦公系統採用 Windows 系統。目前並未知其是否有安全隱患。
對個人用戶有什麼影響?
個人用戶的電腦如果打開了某些針對服務端的端口,也會受到影響,而且,XP和Win7 的445端口開放而且默認可訪問,個人用戶需要及時打補丁。Win10也一樣,需要關閉Server服務,或配置防火牆,如果不會上述操作,就要及時打補丁。
參考secriyweek中的文章《Microsoft Patches Many Exploited, Disclosed Flaws》By Eduard Kovacs on March 14, 2017中所提到的,微軟已發佈安全補丁,修復大量已被公開詳情的0day漏洞,及時更新系統補丁即可,同時避免使用電腦進行各種網絡交易。
如何關閉Server服務?
在電腦系統中,server服務關閉就會有許多文件夾不能使用。如果沒有及時更新,可以暫時關閉,更新補丁後再次啟用。
總的來說,像我的個人電腦並沒有什麼太多對於黑產從業者有價值的信息,電腦裡的數據都是各式各樣的工作,生活的文件,一旦丟失,或者系統出問題,能做的就是重新再裝一次系統,反正文件都不在C盤,不至於會都丟失,所以很重要的一個習慣就是“重要的文件別存C盤”,也就是不要存放在系統盤裡,這樣你無論怎麼更換系統,文件都在硬盤裡,不會丟失。