北京时间4月14号晚,Shadow Brokers (影子经纪人)在博客上放出第二波方程式组织Equation Group的黑客工具包,而本次泄露的工具包中包含大量高危Windows漏洞利用工具,更有多个漏洞堪称”核弹级”的漏洞。
截止到目前,启明星辰已升级事件库,可对解密后的工具包所涉及的Windows漏洞利用做出检测和防护。
目前已知受影响的 Windows 版本包括但不限于:Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
一 技术解读
此次泄漏的文件有三部分,分别为:
1. Windows,包含多个Windows漏洞利用工具。
2. swift,包含攻击银行操作系统的文档。
3. OddJob,包含无法被杀毒软件检测的Rootkit利用工具。
其中涉及Windows的主要漏洞有:
● 针对Windows 2003 的IIS 6.0远程漏洞。
● SMB1的重量级漏洞,可以用来攻击并提权开放了445端口的Windows系统。
● RDP服务远程漏洞,可以攻击开放了3389端口的Windows系统。
● 针对IBM Lotus 的漏洞。
详细工具名称以及对应功能如下表所示:
经测试,上述大部分工具的漏洞利用可以复现成功,部分截图如下:
如下图所示,获得了Windows 7系统的system权限。
二 修复方案
1、微软解决方案:
微软MSRC建议,此次Shadow Brokers公开提供的针对Windows攻击的漏洞绝大部分已经在之前的系统升级补丁中修复。(如下图所示)
攻击工具EnglishmanDentist,EsteemAudit和ExplodingCan只影响微软不再支持的版本。
需要注意在3月份发布的MS17-010补丁,该补丁修复了3个重大的SMB远程利用漏洞,请用户尽快下载该补丁或升级至最新Windows版本。
微软官方关于此次事件的通告:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=groupmessage&isappinstalled=0
2、虚拟补丁:
对于Windows系统无法打补丁,无法通过防火墙进行端口阻断,同时必须要开启135、137、139,445和3389端口相关服务的用户。
请及时升级IDS,IPS事件库至最新版,最新版事件库中的以下事件可以有效检测或阻断上述漏洞工具带来的威胁。
三 产品报警
1、天阗入侵检测系统报警截图:
2、天清入侵防御系统报警截图:
启明星辰公司将秉承诚信和创新精神,继续致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务,帮助客户全面提升其IT基础设施的安全性和生产效能,为打造和提升国际化的民族信息安全产业第一品牌而不懈努力。