北京时间 2017 年 4 月 14 日晚,“Shadow Brokers” 终于忍不住了,在推特上放出了他们当时保留的部分对windows进行远程攻击的文件,解压密码是 “Reeeeeeeeeeeeeee”。‘
我们总结了一下:对网维影响最大的是 会导致 开放了 3389 RDP 远程服务,以及开放了445端口等文件共享服务器,被远程入侵攻击。
sklinux总结的暂时解决办法:
1,web服务器还在使用iis6的,进行升级最新版本的IIS,或者换其它WEB服务器.
2,关闭共享服务(services.msc中的 server 服务停止),
3,关闭3389端口,如果一定要使用RDP远程,强烈建议更改3389为其它端口,但此举并不能彻底解决此问题。建议更换radmin或者用深蓝三层远程。(深蓝三层远程的3389,radmin等远程穿透不需要外网端口开放,相对安全性更高。)
4,关闭和限制 137、139、445,3389 端口的使用,或者用防火墙限制这些端口只能指定的IP或者MAC使用。
5,等待微软最新的补丁,并第一时间打上。
目前已知受影响的 Windows 版本包括但不限于:Windows NT,Windows 2000(没错,古董也支持)、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8,Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
这次的文件有三个目录,分别为“Windows”、“Swift” 和 “OddJob”,包含一堆令人震撼的黑客工具(几个重要的列举如下):
- EXPLODINGCAN 是 IIS 6.0 远程漏洞利用工具
- ETERNALROMANCE 是 SMB1 的重量级利用,可以攻击开放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。
- 除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序,可以攻击开放了 445 端口的 Windows 机器。
- ESTEEMAUDIT 是 RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口的 Windows 机器。
- FUZZBUNCH 是一个类似 MetaSploit 的漏洞利用平台。
- ODDJOB 是无法被杀毒软件检测的 Rootkit 利用工具。
- ESKIMOROLL 是 Kerberos 的漏洞利用攻击,可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。
不放不要紧,放出来吓坏了一众小伙伴。这些文件包含多个 Windows 神洞的利用工具,只要 Windows 服务器开了135、445、3389 其中的端口之一,有很大概率可以直接被攻击,这相比于当年的 MS08-067 漏洞有过之而无不及啊,如此神洞已经好久没有再江湖上出现过了。