安全公告编号:CNTA-2017-0029
北京时间4月14日晚间,Shadow Brokers(影子经纪人)组织在互联网上发布了此前获得的部分方程式黑客组织(Equation Group)的文件信息,包含针对Windows操作系统以及其他服务器系统软件的多个高危漏洞利用工具。由于其发布的攻击工具集成化程度高、部分攻击利用方式较为高效,有可能引发互联网上针对服务器主机的大规模攻击。
一、事件情况简要分析
Shadow Brokers发布了黑客使用的大量针对Windows操作系统、银行专用系统以及其他广泛应用的服务器软件产品的工程化工具,涉及的产品包括:Windows操作系统及其IIS和SMTP客户端服务组件、IBM Lotus办公服务组件、MDaemon邮件系统、IMAIL邮件系统等,其中威胁较大的漏洞利用工具如下:
此外, Shadow Brokers发布的数据还包括一些演示文稿和excel表格,方程式攻击了中东一些使用了 SWIFT结算系统的银行信息系统。CNVD对上述已知的或未收录漏洞的综合评级均为“高危”。
二、应急处置建议
根据微软官方发布的声明称,上述表项中涉及的大部分漏洞已在微软支持的产品中修复,微软官方公告的解决方案对应表如下表所示。由于微软已经停止对Windows XP和Windows Server 2003的安全更新,因此对于XP和2003用户以及其他未打补丁的用户直接构成攻击威胁。
表 微软官方公告解决方案对应表
截止4月16日要本公告发布时,其他涉及的邮件系统厂商和办公系统软件厂商还未对发布的漏洞攻击情况进行回应。考虑到近期有可能出现的攻击威胁,CNVD建议相关单位和个人用户做好以下措施:
(一)关闭135、137、139、445、3389等端口的外部网络访问权限,在服务器上关闭不必要的上述服务端口;
(二)加强对135、137、139、445、3389等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;
(三)做好本单位Window XP和Windows server 2003主机的排查,使用替代操作系统;
(四)IMAIL、IBMLotus、MDaemon等软件产品用户需要及时关注厂商安全更新,及时修复。
附:参考链接:
http://thehackernews.com/2017/04/window-zero-day-patch.html?m=1&from=groupmessage
https://github.com/misterch0c/shadowbroker/blob/master/file-listing
https://github.com/x0rz/EQGRP_Lost_in_Translation/