5月12日,全球互聯網遭受Wannacry勒索軟件蠕蟲感染,對我國互聯網也造成嚴重的安全威脅。該事件是由于“影子經紀人”(Shadow Brokers)組織此前公開披露漏洞攻擊工具而導致的后續勒索軟件蠕蟲攻擊。
該組織此前公開的漏洞攻擊工具包含針對Windows操作系統以及其他辦公���、郵件軟件的多個高危漏洞攻擊工具。這些工具集成化程度高、部分攻擊利用方式較為高效����,可能引發互聯網上針對Window操作系統主機或應用軟件的大規模攻擊。現對應可能利用的安全漏洞����,提醒廣大用戶及時做好相應措施進行防范�。
(一)Windows操作系統SMB協議相關漏洞及攻擊工具(共8個)
1����、Eternalblue(“永恒之藍”)
漏洞的相關信息可參考Microsoft安全公告MS17-010
受影響軟件及版本:Windows XP至Windows Server 2012��。
補丁文件下載地址:Windows安全更新程序(KB4012598)
2�����、Educatedscholar
漏洞的相關信息可參考微軟安全公告MS09-050
?��。?a >https://technet.microsoft.com/library/security/ms09-050)
受影響軟件及版本:Windows Vista�、Windows Vista SP1 和 Windows Vista SP2����;Windows Server 2008、Windows Server 2008 SP2���。
補丁文件下載地址:Windows安全更新程序(KB975517)
3、Eternalsynergy
漏洞的相關信息可參考Microsoft 安全公告 MS17-010
?��。?a >https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)
受影響產品及版本:Windows 8和Windows Server 2012。
補丁文件下載地址:Windows安全更新程序(KB4012598)
4����、Emeraldthread
漏洞的相關信息可參考Microsoft 安全公告 MS10-061
?����。?a >https://technet.microsoft.com/zh-cn/library/security/ms10-061.aspx)
受影響產品及版本:可能影響Windows XP�、Server 2003、Vista、Server 2008�����、Windows7、2008 R2�����。
補丁文件下載地址:Windows安全更新程序(KB2347290)
5���、Erraticgopher
Erraticgopher是針對Windows系統SMBv1協議的漏洞攻擊工具���, Windows Vista發布的時候已經修復該漏洞�,但之前的版本可能受影響。
受影響產品及版本:Windows XP和Windows Server 2003�����。
6����、Eternalromance
漏洞的相關信息可參考Microsoft 安全公告 MS17-010
受影響產品及版本:Windows XP/Vista/7/Server 2003/Server 2008�����。
補丁文件下載地址:Windows安全更新程序(KB4012598)
7�、Eclipsedwing
漏洞的相關信息見Microsoft 安全公告 MS08-067
受影響產品及版本:Windows XP/Server 2003/Server 2008����。
補丁文件下載地址:Windows安全更新程序(KB958644)
8、EternalChampion
漏洞的相關信息可參考Microsoft 安全公告 MS17-010
受影響產品及版本:全平臺Windows。
補丁文件下載地址:Windows安全更新程序(KB4012598)
針對上述SMB等協議相關漏洞及攻擊工具的相關建議如下:
?����。?)在主機上關閉135�����、137���、139��、445等端口;
(2)及時更新和安裝Windows已發布的安全補丁���。由于微軟停止對Window XP和Windows server 2003的安全更新,建議對這兩類操作系統主機重點進行排查。針對上述漏洞,Window XP和Windows Server 2003用戶以及其他無法直接使用Windows自動更新功能的用戶可根據Windows系統和版本自行從微軟官網(見上述各個漏洞工具描述中提供的補丁下載地址鏈接)下載補丁文件并安裝���。
(二)Windows系統RDP、IIS�����、Kerberos協議相關漏洞及攻擊工具(共3個)
1�����、Esteemaudit
Esteemaudit 是一個針對3389端口的遠程溢出程序�����,它利用Windows 遠程桌面訪問RDP協議缺陷實施攻擊。
受影響產品及版本:目前已知可能受影響的操作系統是Windows XP和Windows Server 2003。
應對建議:由于微軟公司已經停止對Windows XP和Windows Server 2003的安全更新�����,使用這兩種版本操作系統并且開放RDP3389端口服務的計算機用戶需要盡快開展如下處置措施:
?。?)如不需要遠程訪問,建議關閉遠程協助功能和遠程桌面訪問����,開啟網絡防火墻、Windows防火墻攔截RDP默認端口的訪問�����;
(2)如果業務需要開啟遠程訪問���,建議配置網絡防火墻或Windows防火墻只允許信任的白名單IP地址的訪問,或者將RDP服務端口3389配置(映射)為其他非常用端口�����;
?。?)由于微軟對部分操作系統停止對Window XP和Windows server 2003的安全更新,建議對這兩類操作系統主機重點進行排查。
2��、Eskimoroll
漏洞的相關信息可參考微軟安全公告MS14-068
?�。?a >https://technet.microsoft.com/zh-cn/library/security/ms14-068.aspx)����。
受影響產品及版本:Windows Vista/7/8/Server 2003/Server 2008/Server 2012�����。
補丁文件下載地址:Windows安全更新程序(KB3011780)
應對建議:針對Windows 2003/2008/2012��,下載和升級系統補丁,并在防火墻中配置tcp 88端口的安全訪問控制。針對不提供升級更新支持的Windows 2000��,建議重點進行排查��。
3、Explodingcan
Explodingcan是針對Windows Server 2003系統 IIS6.0服務的遠程攻擊工具���,但需要目標主機開啟WEBDAV才能攻擊,不支持安全補丁更新�。
受影響產品及版本:Windows Server 2003 IIS6.0(開啟WEBDAV)��。
應對建議:微軟不再支持Windows Server 2003系統安全更新,建議關閉WEBDAV���,使用WAF、IPS等安全防護����,或者升級操作系統�。
(三)辦公軟件及郵件系統相關漏洞及攻擊工具(共4個)
1��、Easybee
針對郵件系統MDaemon遠程代碼執行漏洞的利用工具�。
受影響產品及版本:受影響的MDaemon是美國Alt-N公司開發的一款標準SMTP/POP/IMAP郵件系統���。 較舊的不受支持的版本(9.x–11.x)可能容易受到EasyBee攻擊���。 版本12.x和13.0可能容易受到EasyBee使用的漏洞利用影響��。版本13.5和更新版本不容易受到攻擊��。
應對建議:將所有舊的、不受支持的MDaemon版本升級到最新的���、安全的版本。參考官方網站進行漏洞升級��。
2����、Englishmansdentist
針對Outlook Exchange郵件系統的漏洞利用程序,可攻擊開放http 80或https 443端口提供web訪問的Outlook Exchange郵件系統�。
受影響產品及版本:Outlook Exchange郵件系統早期版本Exchange 2003�����,Exchange 2007��。
應對建議:升級到Exchange 2010及以上版本�,安全備份郵件數據����。
3、Ewokfrenzy
針對 Lotus Domino軟件IMAP服務的漏洞攻擊工具。
受影響產品及版本:IBM Lotus Domino 6.5.4 to 7.0.2。
應對建議: 升級最新�、安全的版本或使用其他替代產品���,安全備份郵件數據����。
4、Emphasismine
針對 Lotus Domino軟件IMAP服務的漏洞攻擊工具��。
受影響產品及版本:Lotus Domino 6.5.4, 6.5.5, 7.0-8.5.2�����。
應對建議: 升級最新��、安全的版本或使用其他替代產品,安全備份郵件數據�。
除上述針對各類利用漏洞的防護建議外���,建議廣大用戶及時升級更新安全防護軟件并定期在不同的存儲介質上備份計算機上的重要文件�,以降低網絡攻擊帶來的損失�����。
網絡與信息管理中心
2017年05月25日
