美國國家安全局(NSA)旗下的“方程式黑客組織”(shadow brokers)使用的部分網路武器被公開,其中包括可以遠程攻破全球約70%Windows機器的漏洞利用工具。 其中,有十款工具最容易影響Windows個人用戶,包括永恆之藍、永恆王者、永恆浪漫、永恆協作、翡翠纖維、古怪地鼠、愛斯基摩捲、 ...
美國國家安全局(NSA)旗下的“方程式黑客組織”(shadow brokers)使用的部分網路武器被公開,其中包括可以遠程攻破全球約70%Windows機器的漏洞利用工具。
其中,有十款工具最容易影響Windows個人用戶,包括永恆之藍、永恆王者、永恆浪漫、永恆協作、翡翠纖維、古怪地鼠、愛斯基摩捲、文雅學者、日食之翼和尊重審查。不法分子無需任何操作,只要聯網就可以入侵電腦,就像衝擊波、震蕩波等著名蠕蟲一樣可以瞬間血洗互聯網。
(摘自KDNET凱迪社區)
Shadow Brokers事件爆發後,微軟安全應急響應中心MSRC已經在當天發出公告,MSRC表示會對披露的漏洞進行了徹底調查,並且表明就本次遭到披露的漏洞而言,大多數都已經被修複。以下是部分公告內容:
當潛在漏洞經內部或外部來源上報給微軟時,微軟安全應急響應中心(Microsoft Security Response Center,縮寫為MSRC)會立即進行徹底的調查。我們致力於迅速驗證上報信息,確保置客戶於風險中的真實、未解決的漏洞得到修複。一旦得到驗證,工程團隊會儘快修複被上報的問題。修複問題所需的時間會同受影響的產品、服務以及版本直接相關。同時,分析對用戶的潛在威脅,以及漏洞被利用的可能性,我們也會擺在MSRC工作的首位。
就本次遭到披露的漏洞而言,大多數都已經被修複。以下是經過確認,已在版本更新中被解決的漏洞列表。
|
漏洞名稱 |
解決方案 |
|
“EternalBlue 永恆之藍” |
由MS17-010解決 |
|
“EmeraldThread 翡翠線” |
由MS10-061解決 |
|
“EternalChampion 永恆冠軍” |
由CVE-2017-0146和CVE-2017-0147解決 |
|
“ErraticGopher 漂泊地鼠” |
在Windows Vista發佈之前就已經解決 |
|
“EsikmoRoll 愛斯基摩捲” |
由MS14-068解決 |
|
“EternalRomance 永恆羅曼史” |
由MS17-010解決 |
|
“EducatedScholar 受過教育的學者” |
由MS09-050解決 |
|
“ EternalSynergy 永恆協同” |
由MS17-010解決 |
|
“EclipsedWing 黯淡羽翼” |
由MS08-067解決 |
剩下的三個漏洞——“EnglishmanDentist英國牙醫”,“EsteemAudit 尊嚴審計”和“ExplodingCan 爆炸罐頭”,在Windows 7、 Windows近期版本、 Exchange 2010以及Exchange較新版本中沒有得到復現,所以使用上述版本的用戶不存在安全風險。但是,我們強烈建議仍在使用這些產品先前版本的用戶升級到更新版本。
情況緊迫,國內安全廠商也快速行動起來了。4月19日深夜,360安全衛士官方微博宣佈推出“NSA武器庫免疫工具”,可以一鍵檢測修補漏洞;對於沒有補丁的系統版本,也可以關閉NSA黑客武器攻擊的高危服務,能夠全面抵擋NSA武器庫的攻擊。
(摘自Sohu搜狐 - i春秋)
說了這麼多有的沒的,我們回到起點,這些漏洞到底是從什麼時候開始引起重視的?
(騰訊電腦管家NSA武器庫漏洞檢測界面)
這要從“EternalBlue永恆之藍”漏洞開始說起。
首先,EternalBlue漏洞的衝擊並非突然爆發,早在4月8日就被一個名人“影子經紀人”黑客組織為了“抗議美國總統特朗普”,利用美國國家安全局基於微軟系統一個漏洞的監控工具進行過網路攻擊。這個工具當時在網上公佈過,但是並沒有引起足夠的重視。
這種勒索病毒名為WannaCry(及其變種),攻擊手段是利用了微軟系統的一個漏洞,取名為“永恆之藍”EternalBlue。
據360安全中心分析,黑客正是通過使用NSA泄漏的“永恆之藍”攻擊Windows漏洞,把ONION、WNCRY等勒索病毒,通過Windows的445埠(文件共用),在網路上快速傳播感染。這些病毒,無需用戶任何交互性操作,只要開機上網,“永恆之藍”就能在電腦里執行任意代碼,從容植入勒索病毒等惡意程式。
北京時間5月12號晚間,這種惡意勒索軟體病毒在世界各地迅速傳播,電腦感染後即被鎖死,彈出"哎喲,你的文件被加密了!"的顯示框。用戶被要求支付價值300美元的比特幣才能解鎖,否則所有資料將被刪除。
(被EternelBlue入侵的電腦頁面)
(摘自KDNET凱迪社區)
這是這十個漏洞的其中一個。總體來說,這十個漏洞的攻擊工具按協議可以分為三類,分別為SMB漏洞,RDP漏洞和Kerberos漏洞。
·SMB漏洞攻擊工具
SMB是一個網路文件共用協議,它允許應用程式和終端用戶從遠端的文件伺服器訪問文件資源,用於在電腦之間共用文件、印表機、串口和郵槽等。
此次泄露的NSA武器庫中,包含了EternalBlue(永恆之藍)、EternalChampion(永恆王者)、EternalRomance(永恆浪漫)、EternalSynergy(永恆協作)、EmeraldThread(翡翠纖維)、ErraticGopher(古怪地鼠)、EducatedScholar(文雅學者)等SMB漏洞攻擊工具。
NSA武器攻擊的SMB漏洞都已經被微軟補丁修複,在支持期的系統打全補丁就可以了。但是像XP、2003這些微軟已經不支持的系統,還是需要使用360的“NSA武器庫免疫工具”把高危服務關掉,就可以避免被遠程攻擊了。
·RDP 漏洞攻擊工具
RDP遠程桌面服務是遠程顯示協議。用戶可以通過它映像遠程操控會話指導其他用戶使用軟體和系統,也可以用來監視客戶機運行情況。Windows用戶只要開啟3389遠程登陸埠便可以通過RDP 遠程桌面服務對實現這一功能。
此次泄露的NSA武器中,同樣包含著RDP遠程桌面服務漏洞攻擊工具EsteemAudit(尊重審查)。
EsteemAudit是支持Windows XP和Windows 2003的RDP漏洞遠程攻擊工具。黑客們利用它可以實現對中招電腦的遠程操控,包括監視中招電腦的使用行為。凡是開放了3389遠程登陸埠的 Windows 機器,都有可能受到攻擊。
由於EsteemAudit影響的系統已經失去微軟的支持,沒有補丁修複漏洞。Windows用戶需要關閉3389遠程桌面,如果是伺服器系統一定要開啟3389埠,至少也要關閉智能卡登錄功能,併在防火牆上嚴格限制來源IP。個人用戶可以使用“NSA武器庫免疫工具”進行防禦。
·Kerberos(三頭狗)域控漏洞利用工具
Kerberos 是Windows活動目錄中使用的客戶/伺服器認證協議,為通信雙方提供雙向身份認證。Kerberos通過身份驗證服務和票據授予服務對電腦數據進行管理,實現Windows用戶同伺服器的數據交換。
(Kerberos安全認證原理)
NSA武器庫中的EskimoRoll(愛斯基摩捲)就是Kerberos的漏洞利用工具,它可以攻擊 Windows2000/2003/2008/2008 R2的域控制器。Windows用戶可以從微軟官網下載補丁MS14-068修複該漏洞,也可使用360安全衛士等第三方軟體掃描修複漏洞。
(NSA武器庫免疫工具界面)
(摘自KDNET凱迪社區)
最後,再來說一下360的“NSA武器庫免疫工具”的原理:
·首先檢測系統環境,判斷當前系統版本,是否存在NSA黑客武器攻擊的漏洞。
·如果是Win7、Win10等有補丁的系統,免疫工具會調用360安全衛士打好補丁;
·如果是XP、2003等沒有補丁的系統,免疫工具會一鍵關閉NSA黑客武器攻擊的高風險服務從而使黑客武器無法實施攻擊。
(摘自優選網)
參考網站:
·PacketStormSecurity-ERRATICGOPHER(漂泊/古怪地鼠漏洞介紹)
https://packetstormsecurity.com/files/142160/ERRATICGOPHER-1.0.1-Windows-XP-2003-SMB-Exploit.html
(PacketStormSecurity是一個在國外比較著名的展示當下和歷史的安全工具、安全開發和提供安全建議的網站)
·KDNET凱迪社區
http://club.kdnet.net/dispbbs.asp?boardid=1&id=12249344
·Sohu搜狐 - i春秋
http://www.sohu.com/a/134372861_689961
·優選網
http://www.yxqbx.com/keji/ruanjian/1740663.html
(END)
