北京时间4月14日晚,一大批新的NSA相关网络攻击工具及文档被Shadow Brokers组织公布,其中包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,个别漏洞还处于0day状态。目前这些漏洞利用工具完全处于立即可用的公开的状态,黑客极有可能直接利用来控制受影响的Windows服务器。这是继上周4月8号第一波放出EQGRP-Auction-Files 文件解密密码(bobao.360.cn/news/detail/4107.html )之后,又一次的大规模公开的放出解密密码。
360安全监测与响应中心持续关注该事件进展,并第一时间为您更新该漏洞信息。
1、事件信息:第二波解密的黑客工具包内容包括odd.tar.xz.gpg, swift.tar.xz.gpg 和windows.tar.xz.gpg。
Windows: 包括 Windows利用工具, 植入式的恶意软件 和一些攻击代码。
Swift: 包括 银行攻击的一些内容。
Oddjob: 包括与Oddjob后门相关的doc。
相关研究人员称:Windows文件夹包含对Windows操作系统的许多黑客工具,但主要针对的是较旧版本的Windows(Windows XP中)和Server 2003。
一位名叫Hacker Fantastic在推特上称,其中的“ETERNALBLUE是一个0day RCE漏洞利用,影响最新和更新的Windows 2008 R2 SERVER VIA SMB和NBT!”
OddJob文件夹包含基于Windows的植入软件,并包括所指定的配置文件和有效载荷。虽然目前这种植入软件的细节很少,但OddJob适用于Windows Server 2003 Enterprise(甚至Windows XP Professional)。
2、风险等级:360安全监测与响应中心风险评级为:危急
3、影响范围:目前经过研究人员分析后,已知的受影响版本如下,其他版本正在紧急分析中:Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。
4、解决方案:1)对于Windows 2003以上版本的操作系统,建议打上最新的补丁。2)对于Windows XP、Windows 2003这样的已经失去微软支持的系统,强烈建议用户马上检查服务器的配置,如果对外的SMB服务器是不必要的,请尽快关闭;对于RDP远程终端服务设置防火墙规则,只允许可信来源IP的访问;对于Windows 2003的IIS 6.0如之前的通告关闭WebDAV功能。