5月12日,全球互联网遭受Wannacry勒索软件蠕虫感染,对我国互联网也造成严重的安全威胁。该事件是由于“影子经纪人”(Shadow Brokers)组织此前公开披露漏洞攻击工具而导致的后续勒索软件蠕虫攻击。
该组织此前公开的漏洞攻击工具包含针对Windows操作系统以及其他办公、邮件软件的多个高危漏洞攻击工具。这些工具集成化程度高、部分攻击利用方式较为高效,可能引发互联网上针对Window操作系统主机或应用软件的大规模攻击。现对应可能利用的安全漏洞,提醒广大用户及时做好相应措施进行防范。
(一)Windows操作系统SMB协议相关漏洞及攻击工具(共8个)
1、Eternalblue(“永恒之蓝”)
漏洞的相关信息可参考Microsoft安全公告MS17-010
受影响软件及版本:Windows XP至Windows Server 2012。
补丁文件下载地址:Windows安全更新程序(KB4012598)
2、Educatedscholar
漏洞的相关信息可参考微软安全公告MS09-050
受影响软件及版本:Windows Vista、Windows Vista SP1 和 Windows Vista SP2;Windows Server 2008、Windows Server 2008 SP2。
补丁文件下载地址:Windows安全更新程序(KB975517)
3、Eternalsynergy
漏洞的相关信息可参考Microsoft 安全公告 MS17-010
受影响产品及版本:Windows 8和Windows Server 2012。
补丁文件下载地址:Windows安全更新程序(KB4012598)
4、Emeraldthread
漏洞的相关信息可参考Microsoft 安全公告 MS10-061
受影响产品及版本:可能影响Windows XP、Server 2003、Vista、Server 2008、Windows7、2008 R2。
补丁文件下载地址:Windows安全更新程序(KB2347290)
5、Erraticgopher
Erraticgopher是针对Windows系统SMBv1协议的漏洞攻击工具, Windows Vista发布的时候已经修复该漏洞,但之前的版本可能受影响。
受影响产品及版本:Windows XP和Windows Server 2003。
6、Eternalromance
漏洞的相关信息可参考Microsoft 安全公告 MS17-010
受影响产品及版本:Windows XP/Vista/7/Server 2003/Server 2008。
补丁文件下载地址:Windows安全更新程序(KB4012598)
7、Eclipsedwing
漏洞的相关信息见Microsoft 安全公告 MS08-067
受影响产品及版本:Windows XP/Server 2003/Server 2008。
补丁文件下载地址:Windows安全更新程序(KB958644)
8、EternalChampion
漏洞的相关信息可参考Microsoft 安全公告 MS17-010
受影响产品及版本:全平台Windows。
补丁文件下载地址:Windows安全更新程序(KB4012598)
针对上述SMB等协议相关漏洞及攻击工具的相关建议如下:
(1)在主机上关闭135、137、139、445等端口;
(2)及时更新和安装Windows已发布的安全补丁。由于微软停止对Window XP和Windows server 2003的安全更新,建议对这两类操作系统主机重点进行排查。针对上述漏洞,Window XP和Windows Server 2003用户以及其他无法直接使用Windows自动更新功能的用户可根据Windows系统和版本自行从微软官网(见上述各个漏洞工具描述中提供的补丁下载地址链接)下载补丁文件并安装。
(二)Windows系统RDP、IIS、Kerberos协议相关漏洞及攻击工具(共3个)
1、Esteemaudit
Esteemaudit 是一个针对3389端口的远程溢出程序,它利用Windows 远程桌面访问RDP协议缺陷实施攻击。
受影响产品及版本:目前已知可能受影响的操作系统是Windows XP和Windows Server 2003。
应对建议:由于微软公司已经停止对Windows XP和Windows Server 2003的安全更新,使用这两种版本操作系统并且开放RDP3389端口服务的计算机用户需要尽快开展如下处置措施:
(1)如不需要远程访问,建议关闭远程协助功能和远程桌面访问,开启网络防火墙、Windows防火墙拦截RDP默认端口的访问;
(2)如果业务需要开启远程访问,建议配置网络防火墙或Windows防火墙只允许信任的白名单IP地址的访问,或者将RDP服务端口3389配置(映射)为其他非常用端口;
(3)由于微软对部分操作系统停止对Window XP和Windows server 2003的安全更新,建议对这两类操作系统主机重点进行排查。
2、Eskimoroll
漏洞的相关信息可参考微软安全公告MS14-068
受影响产品及版本:Windows Vista/7/8/Server 2003/Server 2008/Server 2012。
补丁文件下载地址:Windows安全更新程序(KB3011780)
应对建议:针对Windows 2003/2008/2012,下载和升级系统补丁,并在防火墙中配置tcp 88端口的安全访问控制。针对不提供升级更新支持的Windows 2000,建议重点进行排查。
3、Explodingcan
Explodingcan是针对Windows Server 2003系统 IIS6.0服务的远程攻击工具,但需要目标主机开启WEBDAV才能攻击,不支持安全补丁更新。
受影响产品及版本:Windows Server 2003 IIS6.0(开启WEBDAV)。
应对建议:微软不再支持Windows Server 2003系统安全更新,建议关闭WEBDAV,使用WAF、IPS等安全防护,或者升级操作系统。
(三)办公软件及邮件系统相关漏洞及攻击工具(共4个)
1、Easybee
针对邮件系统MDaemon远程代码执行漏洞的利用工具。
受影响产品及版本:受影响的MDaemon是美国Alt-N公司开发的一款标准SMTP/POP/IMAP邮件系统。 较旧的不受支持的版本(9.x–11.x)可能容易受到EasyBee攻击。 版本12.x和13.0可能容易受到EasyBee使用的漏洞利用影响。版本13.5和更新版本不容易受到攻击。
应对建议:将所有旧的、不受支持的MDaemon版本升级到最新的、安全的版本。参考官方网站进行漏洞升级。
2、Englishmansdentist
针对Outlook Exchange邮件系统的漏洞利用程序,可攻击开放http 80或https 443端口提供web访问的Outlook Exchange邮件系统。
受影响产品及版本:Outlook Exchange邮件系统早期版本Exchange 2003,Exchange 2007。
应对建议:升级到Exchange 2010及以上版本,安全备份邮件数据。
3、Ewokfrenzy
针对 Lotus Domino软件IMAP服务的漏洞攻击工具。
受影响产品及版本:IBM Lotus Domino 6.5.4 to 7.0.2。
应对建议: 升级最新、安全的版本或使用其他替代产品,安全备份邮件数据。
4、Emphasismine
针对 Lotus Domino软件IMAP服务的漏洞攻击工具。
受影响产品及版本:Lotus Domino 6.5.4, 6.5.5, 7.0-8.5.2。
应对建议: 升级最新、安全的版本或使用其他替代产品,安全备份邮件数据。
除上述针对各类利用漏洞的防护建议外,建议广大用户及时升级更新安全防护软件并定期在不同的存储介质上备份计算机上的重要文件,以降低网络攻击带来的损失。
网络与信息管理中心
2017年05月25日
