最新动态 翱翔于天地间,领航于同业中
方程式工具包泄露Windows漏洞应急方案的相关情况说明
来源:翱领科技    更新时间:2017-04-18


2017415,一重磅炸弹在网络空间炸开,2016年轰动一时的Shadow Brokers (又称影子经纪人)再次泄露一份足以黑掉全世界的绝密文档本次泄露的文档中包含大量Windows漏洞以及利用工具。目前Windows服务器在国内以及世界范围内的企业、学校、政府机关单位使用量非常大。因此,深信服对本次泄露的文档中影响最为严重的的三个Windows漏洞做出检测和防御处置方案


一、漏洞简介


1漏洞一

Windows SMB远程提权漏洞,工具ETERNALROMANCE SMB的重量级利用,可以攻击开放了445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系统权限。 Microsoft 服务器消息块 (SMB) 协议是 Microsoft Windows 中使用的一项 Microsoft 网络文件共享协议。在大部分 windows 系统中都是默认开启的,用于在计算机间共享文件、打印机等。 445端口是一种TCP端口,该端口在windows Server系统中提供局域网中文件或打印机共享服务,攻击者与445端口建立请求连接,能够获得指定局域网内的各种共享信息。 成功上传后门效果图如下:



获取服务器权限效果图如下:



2漏洞二


Windows 2003 IIS 6.0 远程代码执行漏洞,EXPLODINGCAN IIS 6.0 远程漏洞利用工具,可对Windows 2003系统远程上传后门,控制服务器,执行任意代码,利用效果图如下:



3、 漏洞三


Windows RDP 服务远程漏洞,ESTEEMAUDIT RDP 服务的远程漏洞利用工具,可以攻击开放了3389 端口且开启了智能卡登陆的 Windows XP Windows 2003 机器。RDPRemote Desktop Protocol)是Windows远程桌面服务的简称,3389端口是Windows Server远程桌面的服务端口,可以通过这个端口,用 "远程桌面" 等连接工具来连接到远程的服务器,链接成功后输入系统管理员的用户名和密码,可以像操作本机一样操作远程的电脑。 攻击者利用泄露的工具向服务器中植入后门,执行任意代码。

 

二、漏洞影响范围


对于已泄露的黑客工具研究分析,目前已知受影响的 Windows 版本包括但不限于:Windows NTWindows 2000Windows XPWindows 2003Windows VistaWindows 7Windows 8Windows 2008Windows 2008 R2Windows Server 2012 SP0。约覆盖全球 70% Windows 服务器。

 

三、应急方案


方案一:补丁修复


15日下午,微软官方发布公告,称对此次披露的大部分漏洞已经完成修补,在所有服务和补丁保证更新到最新版本的情况下,以下几个工具的攻击将不会受到影响。


公告链接:

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=groupmessage&isappinstalled=0

 

方案二:关闭协议端口


在无法升级服务器的情况下,建议所有 Windows 服务器、个人电脑,包括 XP/2003/Win7/Win8Win 10 ,全部使用防火墙过滤/关闭 137139445端口;对于 3389 远程登录,如果不想关闭的话,至少关闭智能卡登录功能。

 

方案三:使用下一代防火墙


深信服下一代防火墙产品提供针对此次事件漏洞的防护方案,升级IPS规则库版本到20170415及其以上版本,并启用IPS功能中的保护服务器选项的所有规则即可轻松防御针对以上三个漏洞的攻

 

尽管我司产品未涉及该漏洞,但我司依然高度重视,在获悉该漏洞后启动了紧急预警机制,针对该漏洞提供了相应的解决方案。具体如下:

1、漏洞情况主动通知到重要客户,建议客户对漏洞情况进行排查和修复。

2我司技术人员将主动联系使用AF的用户,回访确认IPS规则库的升级情况以及配置是否符合防御要求。如因各种原因无法保证及时升级IPS规则的客户,也请及时联系我司


感谢广大客户对深信服科技长期以来的支持和关注,深信服科技将不断优化产品和服务,为用户的业务安全开展合规提供保障!

 

         深信服科技股份有限公司

                                           二〇一七年四月十六日 

客服中心
销售:
客服:
热线: 400-8818-190
二维码
微信二维码