安全公告编号:CNTA-2017-0029
北京时间4月14日晚间,Shadow Brokers(影子经纪人)组织在互联网上发布了此前获得的部分方程式黑客组织(Equation Group)的文件信息,包含针对Windows操作系统以及其他服务器系统软件的多个高危漏洞利用工具。由于其发布的攻击工具集成化程度高、部分攻击利用方式较为高效,有可能引发互联网上针对服务器主机的大规模攻击。
一、事件情况简要分析
Shadow Brokers发布了黑客使用的大量针对Windows操作系统、银行专用系统以及其他广泛应用的服务器软件产品的工程化工具,涉及的产品包括:Windows操作系统及其IIS和SMTP客户端服务组件、IBM Lotus办公服务组件、MDaemon邮件系统、IMAIL邮件系统等,其中威胁较大的漏洞利用工具如下:
| 代号 | 解决方案 |
| “EternalBlue” | 通过MS17-010解决 |
| “EmeraldThread” | 通过MS10-061解决 |
| “EternalChampion” | 通过CVE-2017-0146 与 CVE-2017-0147解决 |
| “ErraticGopher” | 在Windows Vista发布前即解决 |
| “EsikmoRoll” | 通过MS14-068解决 |
| “EternalRomance” | 通过MS17-010解决 |
| “EducatedScholar” | 通过MS09-050解决 |
| “EternalSynergy” | 通过MS17-010解决 |
| “EclipsedWing” | 通过MS08-067解决 |
截止4月16日要本公告发布时,其他涉及的邮件系统厂商和办公系统软件厂商还未对发布的漏洞攻击情况进行回应。考虑到近期有可能出现的攻击威胁,CNVD建议相关单位和个人用户做好以下措施:
(一)关闭135、137、139、445、3389等端口的外部网络访问权限,在服务器上关闭不必要的上述服务端口;
(二)加强对135、137、139、445、3389等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;
(三)做好本单位Window XP和Windows server 2003主机的排查,使用替代操作系统;
(四)IMAIL、IBMLotus、MDaemon等软件产品用户需要及时关注厂商安全更新,及时修复。
附:参考链接:
https://www.easyaq.com/news/116203320.shtml
https://www.easyaq.com/news/1565122682.shtml
https://www.easyaq.com/news/259360955.shtml
http://thehackernews.com/2017/04/window-zero-day-patch.html?m=1&from=groupmessage
https://github.com/misterch0c/shadowbroker/blob/master/file-listing
https://github.com/x0rz/EQGRP_Lost_in_Translation/
https://yadi.sk/d/NJqzpqo_3GxZA4
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0(微软发布的官方安全公告)0day
文章评论