5月12日�����,全球互聯(lián)網(wǎng)遭受Wannacry勒索軟件蠕蟲(chóng)感染����,對(duì)我國(guó)互聯(lián)網(wǎng)也造成嚴(yán)重的安全威脅�。該事件是由于“影子經(jīng)紀(jì)人”(Shadow Brokers)組織此前公開(kāi)披露漏洞攻擊工具而導(dǎo)致的后續(xù)勒索軟件蠕蟲(chóng)攻擊。
該組織此前公開(kāi)的漏洞攻擊工具包含針對(duì)Windows操作系統(tǒng)以及其他辦公��、郵件軟件的多個(gè)高危漏洞攻擊工具��。這些工具集成化程度高�、部分攻擊利用方式較為高效,可能引發(fā)互聯(lián)網(wǎng)上針對(duì)Window操作系統(tǒng)主機(jī)或應(yīng)用軟件的大規(guī)模攻擊?,F(xiàn)對(duì)應(yīng)可能利用的安全漏洞,提醒廣大用戶(hù)及時(shí)做好相應(yīng)措施進(jìn)行防范�����。
(一)Windows操作系統(tǒng)SMB協(xié)議相關(guān)漏洞及攻擊工具(共8個(gè))
1、Eternalblue(“永恒之藍(lán)”)
漏洞的相關(guān)信息可參考Microsoft安全公告MS17-010
?�。?a >https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)
受影響軟件及版本:Windows XP至Windows Server 2012����。
補(bǔ)丁文件下載地址:Windows安全更新程序(KB4012598)
2、Educatedscholar
漏洞的相關(guān)信息可參考微軟安全公告MS09-050
?。?a >https://technet.microsoft.com/library/security/ms09-050)
受影響軟件及版本:Windows Vista、Windows Vista SP1 和 Windows Vista SP2����;Windows Server 2008、Windows Server 2008 SP2�����。
補(bǔ)丁文件下載地址:Windows安全更新程序(KB975517)
3��、Eternalsynergy
漏洞的相關(guān)信息可參考Microsoft 安全公告 MS17-010
?����。?a >https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)
受影響產(chǎn)品及版本:Windows 8和Windows Server 2012��。
補(bǔ)丁文件下載地址:Windows安全更新程序(KB4012598)
4、Emeraldthread
漏洞的相關(guān)信息可參考Microsoft 安全公告 MS10-061
?���。?a >https://technet.microsoft.com/zh-cn/library/security/ms10-061.aspx)
受影響產(chǎn)品及版本:可能影響Windows XP、Server 2003���、Vista���、Server 2008、Windows7����、2008 R2。
補(bǔ)丁文件下載地址:Windows安全更新程序(KB2347290)
5�、Erraticgopher
Erraticgopher是針對(duì)Windows系統(tǒng)SMBv1協(xié)議的漏洞攻擊工具��, Windows Vista發(fā)布的時(shí)候已經(jīng)修復(fù)該漏洞���,但之前的版本可能受影響��。
受影響產(chǎn)品及版本:Windows XP和Windows Server 2003����。
6、Eternalromance
漏洞的相關(guān)信息可參考Microsoft 安全公告 MS17-010
?。?a >https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)
受影響產(chǎn)品及版本:Windows XP/Vista/7/Server 2003/Server 2008。
補(bǔ)丁文件下載地址:Windows安全更新程序(KB4012598)
7��、Eclipsedwing
漏洞的相關(guān)信息見(jiàn)Microsoft 安全公告 MS08-067
?����。?a >https://technet.microsoft.com/library/security/ms08-067)
受影響產(chǎn)品及版本:Windows XP/Server 2003/Server 2008��。
補(bǔ)丁文件下載地址:Windows安全更新程序(KB958644)
8����、EternalChampion
漏洞的相關(guān)信息可參考Microsoft 安全公告 MS17-010
受影響產(chǎn)品及版本:全平臺(tái)Windows�����。
補(bǔ)丁文件下載地址:Windows安全更新程序(KB4012598)
針對(duì)上述SMB等協(xié)議相關(guān)漏洞及攻擊工具的相關(guān)建議如下:
?����。?)在主機(jī)上關(guān)閉135�����、137、139��、445等端口�����;
?��。?)及時(shí)更新和安裝Windows已發(fā)布的安全補(bǔ)丁����。由于微軟停止對(duì)Window XP和Windows server 2003的安全更新����,建議對(duì)這兩類(lèi)操作系統(tǒng)主機(jī)重點(diǎn)進(jìn)行排查。針對(duì)上述漏洞���,Window XP和Windows Server 2003用戶(hù)以及其他無(wú)法直接使用Windows自動(dòng)更新功能的用戶(hù)可根據(jù)Windows系統(tǒng)和版本自行從微軟官網(wǎng)(見(jiàn)上述各個(gè)漏洞工具描述中提供的補(bǔ)丁下載地址鏈接)下載補(bǔ)丁文件并安裝�����。
(二)Windows系統(tǒng)RDP、IIS�����、Kerberos協(xié)議相關(guān)漏洞及攻擊工具(共3個(gè))
1、Esteemaudit
Esteemaudit 是一個(gè)針對(duì)3389端口的遠(yuǎn)程溢出程序����,它利用Windows 遠(yuǎn)程桌面訪(fǎng)問(wèn)RDP協(xié)議缺陷實(shí)施攻擊。
受影響產(chǎn)品及版本:目前已知可能受影響的操作系統(tǒng)是Windows XP和Windows Server 2003��。
應(yīng)對(duì)建議:由于微軟公司已經(jīng)停止對(duì)Windows XP和Windows Server 2003的安全更新�,使用這兩種版本操作系統(tǒng)并且開(kāi)放RDP3389端口服務(wù)的計(jì)算機(jī)用戶(hù)需要盡快開(kāi)展如下處置措施:
(1)如不需要遠(yuǎn)程訪(fǎng)問(wèn),建議關(guān)閉遠(yuǎn)程協(xié)助功能和遠(yuǎn)程桌面訪(fǎng)問(wèn)�����,開(kāi)啟網(wǎng)絡(luò)防火墻���、Windows防火墻攔截RDP默認(rèn)端口的訪(fǎng)問(wèn)����;
?。?)如果業(yè)務(wù)需要開(kāi)啟遠(yuǎn)程訪(fǎng)問(wèn),建議配置網(wǎng)絡(luò)防火墻或Windows防火墻只允許信任的白名單IP地址的訪(fǎng)問(wèn)�����,或者將RDP服務(wù)端口3389配置(映射)為其他非常用端口;
?�。?)由于微軟對(duì)部分操作系統(tǒng)停止對(duì)Window XP和Windows server 2003的安全更新�����,建議對(duì)這兩類(lèi)操作系統(tǒng)主機(jī)重點(diǎn)進(jìn)行排查��。
2��、Eskimoroll
漏洞的相關(guān)信息可參考微軟安全公告MS14-068
?����。?a >https://technet.microsoft.com/zh-cn/library/security/ms14-068.aspx)��。
受影響產(chǎn)品及版本:Windows Vista/7/8/Server 2003/Server 2008/Server 2012�����。
補(bǔ)丁文件下載地址:Windows安全更新程序(KB3011780)
應(yīng)對(duì)建議:針對(duì)Windows 2003/2008/2012�,下載和升級(jí)系統(tǒng)補(bǔ)丁,并在防火墻中配置tcp 88端口的安全訪(fǎng)問(wèn)控制���。針對(duì)不提供升級(jí)更新支持的Windows 2000��,建議重點(diǎn)進(jìn)行排查��。
3��、Explodingcan
Explodingcan是針對(duì)Windows Server 2003系統(tǒng) IIS6.0服務(wù)的遠(yuǎn)程攻擊工具���,但需要目標(biāo)主機(jī)開(kāi)啟WEBDAV才能攻擊,不支持安全補(bǔ)丁更新�。
受影響產(chǎn)品及版本:Windows Server 2003 IIS6.0(開(kāi)啟WEBDAV)。
應(yīng)對(duì)建議:微軟不再支持Windows Server 2003系統(tǒng)安全更新�,建議關(guān)閉WEBDAV,使用WAF����、IPS等安全防護(hù),或者升級(jí)操作系統(tǒng)�����。
(三)辦公軟件及郵件系統(tǒng)相關(guān)漏洞及攻擊工具(共4個(gè))
1�����、Easybee
針對(duì)郵件系統(tǒng)MDaemon遠(yuǎn)程代碼執(zhí)行漏洞的利用工具���。
受影響產(chǎn)品及版本:受影響的MDaemon是美國(guó)Alt-N公司開(kāi)發(fā)的一款標(biāo)準(zhǔn)SMTP/POP/IMAP郵件系統(tǒng)����。 較舊的不受支持的版本(9.x–11.x)可能容易受到EasyBee攻擊。 版本12.x和13.0可能容易受到EasyBee使用的漏洞利用影響�����。版本13.5和更新版本不容易受到攻擊�。
應(yīng)對(duì)建議:將所有舊的、不受支持的MDaemon版本升級(jí)到最新的���、安全的版本���。參考官方網(wǎng)站進(jìn)行漏洞升級(jí)。
2���、Englishmansdentist
針對(duì)Outlook Exchange郵件系統(tǒng)的漏洞利用程序����,可攻擊開(kāi)放http 80或https 443端口提供web訪(fǎng)問(wèn)的Outlook Exchange郵件系統(tǒng)�����。
受影響產(chǎn)品及版本:Outlook Exchange郵件系統(tǒng)早期版本Exchange 2003,Exchange 2007�����。
應(yīng)對(duì)建議:升級(jí)到Exchange 2010及以上版本����,安全備份郵件數(shù)據(jù)��。
3����、Ewokfrenzy
針對(duì) Lotus Domino軟件IMAP服務(wù)的漏洞攻擊工具。
受影響產(chǎn)品及版本:IBM Lotus Domino 6.5.4 to 7.0.2�����。
應(yīng)對(duì)建議: 升級(jí)最新�����、安全的版本或使用其他替代產(chǎn)品�����,安全備份郵件數(shù)據(jù)。
4����、Emphasismine
針對(duì) Lotus Domino軟件IMAP服務(wù)的漏洞攻擊工具。
受影響產(chǎn)品及版本:Lotus Domino 6.5.4, 6.5.5, 7.0-8.5.2���。
應(yīng)對(duì)建議: 升級(jí)最新�����、安全的版本或使用其他替代產(chǎn)品����,安全備份郵件數(shù)據(jù)�。
除上述針對(duì)各類(lèi)利用漏洞的防護(hù)建議外,建議廣大用戶(hù)及時(shí)升級(jí)更新安全防護(hù)軟件并定期在不同的存儲(chǔ)介質(zhì)上備份計(jì)算機(jī)上的重要文件��,以降低網(wǎng)絡(luò)攻擊帶來(lái)的損失��。
網(wǎng)絡(luò)與信息管理中心
2017年05月25日
