压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

北京時間5月12日，全球互聯網遭受Wannacry勒索軟件蠕蟲感染。截止17日16時，CNCERT監測發現全球近356.3萬個IP地址遭受“永恒之藍”SMB漏洞攻擊，其中位于我國境內的IP地址數量接近12.5萬個，對我國互聯網造成嚴重的安全威脅。綜合CNCERT和國內網絡安全企業已獲知的樣本情況和分析結果，該勒索軟件蠕蟲在傳播時基于445端口并利用SMB漏洞（對應微軟漏洞公告：MS17-010），可以判斷是由于“影子經紀人”（Shadow Brokers）組織此前公開披露漏洞攻擊工具而導致的后續勒索軟件蠕蟲攻擊。

2017年4月14日晚，“影子經紀人”組織在互聯網上發布“方程式”（Equation Group）組織的部分工具文件，包含針對Windows操作系統以及其他辦公、郵件軟件的多個高危漏洞攻擊工具，這些工具集成化程度高、部分攻擊利用方式較為高效。針對可能引發的互聯網上針對Window操作系統主機或應用軟件的大規模攻擊，4月16日，CNCERT主辦國家信息安全漏洞共享平臺（CNVD）發布《關于加強防范Windows操作系統和相關軟件漏洞攻擊風險的情況公告》（訪問鏈接：http://www.cnvd.org.cn/webinfo/show/4110）。時隔不到一個月，Wannacry勒索軟件蠕蟲大范圍感染事件也印證了當時推測的嚴重危害。

針對“影子經紀人”發布的黑客使用的大量針對Windows操作系統以及其他廣泛應用的軟件產品的工程化工具及其對應的利用安全漏洞，CNCERT進行了詳細梳理，并提供相應處置建議，提醒廣大互聯網用戶及時做好應急處置，避免被惡意攻擊或利用。

???一、“影子經紀人”組織披露的系列漏洞描述

（一）Windows操作系統SMB協議相關漏洞及攻擊工具（共8個）

1、ETERNALBLUE（“永恒之藍”）

工具及漏洞說明：ETERNALBLUE是針對Windows系統SMB協議的漏洞利用程序，可以攻擊開放445 端口的大部分Windows主機。對應漏洞的相關信息可參考Microsoft安全公告MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

受影響軟件及版本：Windows XP至Windows 2012。

補丁文件下載地址：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

? 2、Educatedscholar?

工具及漏洞說明：Educatedscholar是針對Windows系統SMB 協議的漏洞利用程序，可以攻擊開放445 端口的特定版本Windows 主機。對應漏洞的相關信息可參考微軟安全公告MS09-050（https://technet.microsoft.com/library/security/ms09-050）。

受影響軟件及版本：Windows Vista、Windows Vista SP1 和 Windows Vista SP2；Windows Server 2008、Windows Server 2008 SP2。

補丁文件下載地址：Windows安全更新程序 (KB975517)，http://www.catalog.update.microsoft.com/Search.aspx?q=975517

?? 3、Eternalsynergy

工具及漏洞說明：Eternalsynergy是針對Windows系統SMBv3協議的遠程代碼執行漏洞攻擊工具，可以攻擊開放445 端口的特定版本Windows 主機。對應漏洞的相關信息可參考Microsoft 安全公告 MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

受影響產品及版本：Windows 8和Windows Server 2012。

補丁文件下載地址：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

? 4、Emeraldthread?

工具及漏洞說明：Emeraldthread是針對Windows系統SMBv1協議允許遠程執行代碼的漏洞攻擊工具。對應漏洞的相關信息可參考Microsoft 安全公告 MS10-061（https://technet.microsoft.com/zh-cn/library/security/ms10-061.aspx）。

受影響產品及版本：可能影響Windows XP、2003、Vista、2008、Windows7、2008 R2。

補丁下載地址：Windows安全更新程序 (KB2347290)， http://www.catalog.update.microsoft.com/Search.aspx?q=2347290

5、Erraticgopher?

? 工具及漏洞說明：Erraticgopher是針對Windows系統SMBv1協議的漏洞攻擊工具， Windows Vista發布的時候已經修復該漏洞，但之前的版本可能受影響。

? 受影響產品及版本：Windows XP和Windows Server 2003。

? 6、Eternalromance?

工具及漏洞說明：Eternalromance是針對Windows系統SMBv1協議的漏洞攻擊工具，可能影響大部分Windows版本。對應漏洞的相關信息可參考Microsoft 安全公告 MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

受影響產品及版本：Windows XP/Vista/7/2003/2008。

? 補丁文件下載地址：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

? 7、Eclipsedwing?

工具及漏洞說明：Eclipsedwing是針對Windows系統SMB/NBT協議中可能允許遠程執行代碼的漏洞利用工具，對應漏洞的相關信息見Microsoft 安全公告 MS08-067（https://technet.microsoft.com/library/security/ms08-067）。

? 受影響產品及版本：Windows XP/2003/2008。

? 補丁下載地址：Windows安全更新程序 (KB958644)，http://www.catalog.update.microsoft.com/Search.aspx?q=958644

8、EternalChampion

工具及漏洞說明：EternalChampion是針對Windows系統SMBv1協議的漏洞攻擊工具，可能影響大部分Windows版本。對應漏洞的相關信息可參考Microsoft 安全公告 MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

受影響產品及版本：全平臺Windows。

補丁文件下載地址：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

針對上述SMB等協議相關漏洞及攻擊工具的相關建議如下：

（1）及時更新和安裝Windows已發布的安全補丁；

（2）關閉135、137、139、445等端口的外部網絡訪問權限，在主機上關閉不必要的上述服務端口；

（3）加強對135、137、139、445等端口的內部網絡區域訪問審計，及時發現非授權行為或潛在的攻擊行為；

（4）由于微軟對部分操作系統停止對Window XP和Windows server 2003的安全更新，建議對這兩類操作系統主機重點進行排查。針對上述漏洞，Window XP和Windows Server 2003用戶以及其他無法直接使用Windows自動更新功能的用戶可根據Windows系統和版本自行從微軟官網（見上述各個漏洞工具描述中提供的補丁下載地址鏈接）下載補丁文件并安裝。

? （二）Windows系統RDP、IIS、Kerberos協議相關漏洞及攻擊工具（共3個）

? 1、Esteemaudit?

工具及漏洞說明：ESTEEMAUDIT是一個針對3389端口的遠程溢出程序，它利用Windows 遠程桌面訪問RDP協議缺陷實施攻擊。

受影響產品及版本：目前已知可能受影響的操作系統是Windows XP和Windows Server 2003。

應對建議：由于微軟公司已經停止對Windows XP和Windows Server 2003的安全更新，使用這兩種版本操作系統并且開放RDP3389端口服務的計算機用戶需要盡快開展處置措施。

（1）如不需要遠程訪問,建議關閉遠程協助功能和遠程桌面訪問，開啟網絡防火墻、Windows防火墻攔截RDP默認端口的訪問；

（2）如果業務需要開啟遠程訪問，建議配置網絡防火墻或Windows防火墻只允許信任的白名單IP地址的訪問，或者將RDP服務端口3389配置（映射）為其他非常用端口；

（3）由于微軟對部分操作系統停止對Window XP和Windows server 2003的安全更新，建議對這兩類操作系統主機重點進行排查。

2、Eskimoroll??

工具及漏洞說明：Eskimoroll是 Kerberos協議允許特權提升的Kerberos漏洞攻擊工具，可能影響Windows域控服務。詳細情況可參考微軟安全公告MS14-068（https://technet.microsoft.com/zh-cn/library/security/ms14-068.aspx）。

受影響產品及版本：Windows 2000/2003/2008/2012。

補丁下載地址：Windows安全更新程序 (KB3011780)，http://www.catalog.update.microsoft.com/Search.aspx?q=3011780

應對建議：針對Windows 2003/2008/2012，下載和升級系統補丁，并在防火墻中配置tcp 88端口的安全訪問控制。針對不提供升級更新支持的Windows 2000，建議重點進行排查。

?? 3、Explodingcan

工具及漏洞說明：Explodingcan是針對Windows 2003系統 IIS6.0服務的遠程攻擊工具，但需要目標主機開啟WEBDAV才能攻擊，不支持安全補丁更新。

受影響產品及版本：Windows 2003 IIS6.0（開啟WEBDAV）。

應對建議：微軟不再支持Windows 2003系統安全更新，建議關閉WEBDAV，使用WAF、IPS等安全防護，或者升級操作系統。

?????（三）辦公軟件及郵件系統相關漏洞及攻擊工具（共4個）

1、Easybee??

工具及漏洞說明：針對郵件系統MDaemon遠程代碼執行漏洞的利用工具。

受影響產品及版本：受影響的MDaemon是美國Alt-N公司開發的一款標準SMTP/POP/IMAP郵件系統。

較舊的不受支持的版本（9.x–11.x）可能容易受到EasyBee攻擊。

版本12.x和13.0可能容易受到EasyBee使用的漏洞利用影響。

版本13.5和更新版本不容易受到攻擊。

應對建議：將所有舊的、不受支持的MDaemon版本升級到最新的、安全的版本。參考官方網站http://www.altn.com/Support/進行漏洞升級。

2、Englishmansdentist?

??????? 工具及漏洞說明：針對Outlook Exchange郵件系統的漏洞利用程序，可攻擊開放http 80或https 443端口提供web訪問的Outlook Exchange郵件系統。

受影響產品及版本：Outlook Exchange郵件系統早期版本Exchange 2003，Exchange 2007。

應對建議：升級到Exchange 2010及以上版本，安全備份郵件數據。

3、Ewokfrenzy

工具及漏洞說明：針對 Lotus Domino軟件IMAP服務的漏洞攻擊工具。

受影響產品及版本：IBM Lotus Domino 6.5.4 to 7.0.2。

? 應對建議： 升級最新、安全的版本或使用其他替代產品，安全備份郵件數據。

? 4、Emphasismine?

工具及漏洞說明：針對 Lotus Domino軟件IMAP服務的漏洞攻擊工具。

受影響產品及版本：Lotus Domino 6.5.4, 6.5.5, 7.0-8.5.2。

應對建議： 升級最新、安全的版本或使用其他替代產品，安全備份郵件數據。

二、其他應急措施

除了上述針對各類利用漏洞的防護建議外，特別是針對Windows XP和Windows 2003等停止更新服務的系統，建議廣大用戶在網絡邊界、內部網絡區域、主機資產、數據備份方面還要做好如下應急措施工作，避免和降低網絡攻擊風險：

（一）做好本單位Windows XP和Windows 2003主機的排查；

（二）升級更新終端安全防護軟件，加強網絡和主機的安全防護。

（三）做好信息系統業務和文件數據在不同存儲介質上的安全可靠備份。

CNCERT將持續對相關利用漏洞進行相關檢測和攻擊監測相關工作，并將繼續跟蹤事件后續情況。如需技術支援，請聯系CNCERT，電子郵箱cncert@cert.org.cn，聯系電話010-82990999。