目前已知受影響的 Windows 版本包括但不限於:Windows NT, Windows 2000(沒錯, 古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8, Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
故事還要從一年前說起, 2016 年 8 月有一個 “Shadow Brokers” 的駭客組織號稱入侵了方程式組織竊取了大量機密檔,
北京時間 2017 年 4 月 14 日晚, “Shadow Brokers” 終於忍不住了, 在推特上放出了他們當時保留的部分檔, 解壓密碼是 “Reeeeeeeeeeeeeee”。
這次的檔有三個目錄, 分別為“Windows”、“Swift” 和 “OddJob”, 包含一堆令人震撼的駭客工具(我們挑幾個重要的列舉如下):
EXPLODINGCAN 是 IIS 6.0 遠端漏洞利用工具
ETERNALROMANCE 是 SMB1 的重量級利用, 可以攻擊開放了 445 埠的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 並提升至系統許可權。
除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程式, 可以攻擊開放了 445 埠的 Windows 機器。
ESTEEMAUDIT 是 RDP 服務的遠端漏洞利用工具, 可以攻擊開放了3389 埠的 Windows 機器。
FUZZBUNCH 是一個類似 MetaSploit 的漏洞利用平臺。
ODDJOB 是無法被殺毒軟體檢測的 Rootkit 利用工具。
ECLIPSEDWING 是 Windows 伺服器的遠端漏洞利用工具。
ESKIMOROLL 是 Kerberos 的漏洞利用攻擊, 可以攻擊 Windows 2000/2003/2008/2008 R2 的網域控制站。
不放不要緊, 放出來嚇壞了一眾小夥伴。 這些檔包含多個 Windows 神洞的利用工具, 只要 Windows 伺服器開了135、445、3389 其中的埠之一, 有很大概率可以直接被攻擊, 這相比于當年的 MS08-067 漏洞有過之而無不及啊, 如此神洞已經好久沒有再江湖上出現過了。
掏出 Exp 試了一波, 果然是一打一個准, 這些工具的截圖如下:
除 Windows 以外, “Shadow Brokers” 洩露的資料還顯示方程式攻擊了中東一些使用了 Swift 銀行結算系統的銀行。
緩解措施
所有 Windows 伺服器、個人電腦,包括 XP/2003/Win7/Win8,Win 10 最好也不要漏過,全部使用防火牆過濾/關閉 137、139、445埠;對於 3389 遠端登入,如果不想關閉的話,至少要關閉智慧卡登錄功能。
剩下的就是請穩定好情緒,坐等微軟出補丁。
版權聲明:
本文內容 轉載自 知乎 長亭科技專欄,原作者為長亭科技作者 monster。
緩解措施
所有 Windows 伺服器、個人電腦,包括 XP/2003/Win7/Win8,Win 10 最好也不要漏過,全部使用防火牆過濾/關閉 137、139、445埠;對於 3389 遠端登入,如果不想關閉的話,至少要關閉智慧卡登錄功能。
剩下的就是請穩定好情緒,坐等微軟出補丁。
版權聲明:
本文內容 轉載自 知乎 長亭科技專欄,原作者為長亭科技作者 monster。