Windows血崩，一波大規模 0day 攻擊泄漏，請運維穩定好情緒

2017.4.16 運維派補充：
運維派已根據微軟官網發布針對Windows系統0day漏洞的處理建議：《Windows遠程命令執行0day漏洞的安全預警及其處理建議》

一大早起床是不是覺得陽光明媚歲月靜好？然而網絡空間剛剛誕生了一波核彈級爆炸！Shadow Brokers再次泄露出一份震驚世界的機密文檔，其中包含了多個精美的 Windows 遠程漏洞利用工具，可以覆蓋大量的 Windows 服務器，一夜之間所有Windows服務器幾乎全線暴露在危險之中，任何人都可以直接下載并遠程攻擊利用，考慮到國內不少高校、政府、國企甚至還有一些互聯網公司還在使用 Windows 服務器，這次事件影響力堪稱網絡大地震。

目前已知受影響的 Windows 版本包括但不限于：Windows NT，Windows 2000（沒錯，古董也支持）、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

故事還要從一年前說起，2016 年 8 月有一個 “Shadow Brokers” 的黑客組織號稱入侵了方程式組織竊取了大量機密文件，并將部分文件公開到了互聯網上，方程式（Equation Group）據稱是 NSA（美國國家安全局）下屬的黑客組織，有著極高的技術手段。這部分被公開的文件包括不少隱蔽的地下的黑客工具。另外 “Shadow Brokers” 還保留了部分文件，打算以公開拍賣的形式出售給出價最高的競價者，“Shadow Brokers” 預期的價格是 100 萬比特幣（價值接近5億美金）。這一切聽起來難以置信，以至于當時有不少安全專家對此事件保持懷疑態度，“Shadow Brokers” 的拍賣也因此一直沒有成功。

北京時間 2017 年 4 月 14 日晚，“Shadow Brokers” 終于忍不住了，在推特上放出了他們當時保留的部分文件，解壓密碼是 “Reeeeeeeeeeeeeee”。

這次的文件有三個目錄，分別為“Windows”、“Swift” 和 “OddJob”，包含一堆令人震撼的黑客工具（我們挑幾個重要的列舉如下）：

• EXPLODINGCAN 是 IIS 6.0 遠程漏洞利用工具
• ETERNALROMANCE 是 SMB1 的重量級利用，可以攻擊開放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系統權限。
• 除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序，可以攻擊開放了 445 端口的 Windows 機器。
• ESTEEMAUDIT 是 RDP 服務的遠程漏洞利用工具，可以攻擊開放了3389 端口且開啟了智能卡登陸的 Windows XP 和 Windows 2003 機器。
• FUZZBUNCH 是一個類似 MetaSploit 的漏洞利用平臺。
• ODDJOB 是無法被殺毒軟件檢測的 Rootkit 利用工具。
• ECLIPSEDWING 是 Windows 服務器的遠程漏洞利用工具。
• ESKIMOROLL 是 Kerberos 的漏洞利用攻擊，可以攻擊 Windows 2000/2003/2008/2008 R2 的域控制器。

不放不要緊，放出來嚇壞了一眾小伙伴。這些文件包含多個 Windows 神洞的利用工具，只要 Windows 服務器開了135、445、3389 其中的端口之一，有很大概率可以直接被攻擊，這相比于當年的 MS08-067 漏洞有過之而無不及啊，如此神洞已經好久沒有再江湖上出現過了。

掏出 Exp 試了一波，果然是一打一個準，這些工具的截圖如下：

除 Windows 以外，“Shadow Brokers” 泄露的數據還顯示方程式攻擊了中東一些使用了 Swift 銀行結算系統的銀行。

緩解措施

所有 Windows 服務器、個人電腦，包括 XP/2003/Win7/Win8，Win 10 最好也不要漏過，全部使用防火墻過濾/關閉 137、139、445端口；對于 3389 遠程登錄，如果不想關閉的話，至少要關閉智能卡登錄功能。

剩下的就是請穩定好情緒，坐等微軟出補丁。

參考

• Shadow Brokers Release New Files Revealing Windows Exploits, SWIFT Attacks
• The Shadow Brokers
• https://github.com/misterch0c/shadowbroker/
• https://gist.github.com/misterch0c/08829bc65b208609d455a9f4aeaa2a6c

本文轉載自 Monster@長亭科技
原文鏈接：https://zhuanlan.zhihu.com/p/26375989

2017.4.16 運維派補充：
運維派已根據微軟官網發布針對Windows系統0day漏洞的處理建議：《Windows遠程命令執行0day漏洞的安全預警及其處理建議》

本文鏈接：http://www.royaladd.com/13581.html