北京时间5月12日,全球互联网遭受Wannacry勒索软件蠕虫感染。截止17日16时,CNCERT监测发现全球近356.3万个IP地址遭受“永恒之蓝”SMB漏洞攻击,其中位于我国境内的IP地址数量接近12.5万个,对我国互联网造成严重的安全威胁。综合CNCERT和国内网络安全企业已获知的样本情况和分析结果,该勒索软件蠕虫在传播时基于445端口并利用SMB漏洞(对应微软漏洞公告:MS17-010),可以判断是由于“影子经纪人”(Shadow Brokers)组织此前公开披露漏洞攻击工具而导致的后续勒索软件蠕虫攻击。

2017年4月14日晚,“影子经纪人”组织在互联网上发布“方程式”(Equation Group)组织的部分工具文件,包含针对Windows操作系统以及其他办公、邮件软件的多个高危漏洞攻击工具,这些工具集成化程度高、部分攻击利用方式较为高效。针对可能引发的互联网上针对Window操作系统主机或应用软件的大规模攻击,4月16日,CNCERT主办国家信息安全漏洞共享平台(CNVD)发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》(访问链接:http://www.cnvd.org.cn/webinfo/show/4110)。时隔不到一个月,Wannacry勒索软件蠕虫大范围感染事件也印证了当时推测的严重危害。

针对“影子经纪人”发布的黑客使用的大量针对Windows操作系统以及其他广泛应用的软件产品的工程化工具及其对应的利用安全漏洞,CNCERT进行了详细梳理,并提供相应处置建议,提醒广大互联网用户及时做好应急处置,避免被恶意攻击或利用。

一、“影子经纪人”组织披露的系列漏洞描述

(一)Windows操作系统SMB协议相关漏洞及攻击工具(共8个)

1、ETERNALBLUE(“永恒之蓝”)

工具及漏洞说明:ETERNALBLUE是针对Windows系统SMB协议的漏洞利用程序,可以攻击开放445 端口的大部分Windows主机。对应漏洞的相关信息可参考Microsoft安全公告MS17-010(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。

受影响软件及版本:Windows XP至Windows 2012。

补丁文件下载地址:Windows安全更新程序 (KB4012598),http://www.catalog.update.microsoft.com/search.aspx?q=4012598

2、Educatedscholar

工具及漏洞说明:Educatedscholar是针对Windows系统SMB 协议的漏洞利用程序,可以攻击开放445 端口的特定版本Windows 主机。对应漏洞的相关信息可参考微软安全公告MS09-050(https://technet.microsoft.com/library/security/ms09-050)。

受影响软件及版本:Windows Vista、Windows Vista SP1 和 Windows Vista SP2;Windows Server 2008、Windows Server 2008 SP2。

补丁文件下载地址:Windows安全更新程序 (KB975517),http://www.catalog.update.microsoft.com/Search.aspx?q=975517

3、Eternalsynergy

工具及漏洞说明:Eternalsynergy是针对Windows系统SMBv3协议的远程代码执行漏洞攻击工具,可以攻击开放445 端口的特定版本Windows 主机。对应漏洞的相关信息可参考Microsoft 安全公告 MS17-010(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。

受影响产品及版本:Windows 8和Windows Server 2012。

补丁文件下载地址:Windows安全更新程序 (KB4012598),http://www.catalog.update.microsoft.com/search.aspx?q=4012598

4、Emeraldthread

工具及漏洞说明:Emeraldthread是针对Windows系统SMBv1协议允许远程执行代码的漏洞攻击工具。对应漏洞的相关信息可参考Microsoft 安全公告 MS10-061(https://technet.microsoft.com/zh-cn/library/security/ms10-061.aspx)。

受影响产品及版本:可能影响Windows XP、2003、Vista、2008、Windows7、2008 R2。

补丁下载地址:Windows安全更新程序 (KB2347290),http://www.catalog.update.microsoft.com/Search.aspx?q=2347290

5、Erraticgopher

工具及漏洞说明:Erraticgopher是针对Windows系统SMBv1协议的漏洞攻击工具, Windows Vista发布的时候已经修复该漏洞,但之前的版本可能受影响。

受影响产品及版本:Windows XP和Windows Server 2003。

6、Eternalromance

工具及漏洞说明:Eternalromance是针对Windows系统SMBv1协议的漏洞攻击工具,可能影响大部分Windows版本。对应漏洞的相关信息可参考Microsoft 安全公告 MS17-010(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。

受影响产品及版本:Windows XP/Vista/7/2003/2008。

补丁文件下载地址:Windows安全更新程序 (KB4012598),http://www.catalog.update.microsoft.com/search.aspx?q=4012598

7、Eclipsedwing

工具及漏洞说明:Eclipsedwing是针对Windows系统SMB/NBT协议中可能允许远程执行代码的漏洞利用工具,对应漏洞的相关信息见Microsoft 安全公告 MS08-067(https://technet.microsoft.com/library/security/ms08-067)。

受影响产品及版本:Windows XP/2003/2008。

补丁下载地址:Windows安全更新程序 (KB958644),http://www.catalog.update.microsoft.com/Search.aspx?q=958644

8、EternalChampion

工具及漏洞说明:EternalChampion是针对Windows系统SMBv1协议的漏洞攻击工具,可能影响大部分Windows版本。对应漏洞的相关信息可参考Microsoft 安全公告 MS17-010(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。

受影响产品及版本:全平台Windows。

补丁文件下载地址:Windows安全更新程序 (KB4012598),http://www.catalog.update.microsoft.com/search.aspx?q=4012598

针对上述SMB等协议相关漏洞及攻击工具的相关建议如下:

(1)及时更新和安装Windows已发布的安全补丁;

(2)关闭135、137、139、445等端口的外部网络访问权限,在主机上关闭不必要的上述服务端口;

(3)加强对135、137、139、445等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;

(4)由于微软对部分操作系统停止对Window XP和Windows server 2003的安全更新,建议对这两类操作系统主机重点进行排查。针对上述漏洞,Window XP和Windows Server 2003用户以及其他无法直接使用Windows自动更新功能的用户可根据Windows系统和版本自行从微软官网(见上述各个漏洞工具描述中提供的补丁下载地址链接)下载补丁文件并安装。

(二)Windows系统RDP、IIS、Kerberos协议相关漏洞及攻击工具(共3个)

1、Esteemaudit

工具及漏洞说明:ESTEEMAUDIT是一个针对3389端口的远程溢出程序,它利用Windows 远程桌面访问RDP协议缺陷实施攻击。

受影响产品及版本:目前已知可能受影响的操作系统是Windows XP和Windows Server 2003。

应对建议:由于微软公司已经停止对Windows XP和Windows Server 2003的安全更新,使用这两种版本操作系统并且开放RDP3389端口服务的计算机用户需要尽快开展处置措施。

(1)如不需要远程访问,建议关闭远程协助功能和远程桌面访问,开启网络防火墙、Windows防火墙拦截RDP默认端口的访问;

(2)如果业务需要开启远程访问,建议配置网络防火墙或Windows防火墙只允许信任的白名单IP地址的访问,或者将RDP服务端口3389配置(映射)为其他非常用端口;

(3)由于微软对部分操作系统停止对Window XP和Windows server 2003的安全更新,建议对这两类操作系统主机重点进行排查。

2、Eskimoroll

工具及漏洞说明:Eskimoroll是 Kerberos协议允许特权提升的Kerberos漏洞攻击工具,可能影响Windows域控服务。详细情况可参考微软安全公告MS14-068(https://technet.microsoft.com/zh-cn/library/security/ms14-068.aspx)。

受影响产品及版本:Windows 2000/2003/2008/2012。

补丁下载地址:Windows安全更新程序 (KB3011780),http://www.catalog.update.microsoft.com/Search.aspx?q=3011780

应对建议:针对Windows 2003/2008/2012,下载和升级系统补丁,并在防火墙中配置tcp 88端口的安全访问控制。针对不提供升级更新支持的Windows 2000,建议重点进行排查。

3、Explodingcan

工具及漏洞说明:Explodingcan是针对Windows 2003系统 IIS6.0服务的远程攻击工具,但需要目标主机开启WEBDAV才能攻击,不支持安全补丁更新。

受影响产品及版本:Windows 2003 IIS6.0(开启WEBDAV)。

应对建议:微软不再支持Windows 2003系统安全更新,建议关闭WEBDAV,使用WAF、IPS等安全防护,或者升级操作系统。

(三)办公软件及邮件系统相关漏洞及攻击工具(共4个)

1、Easybee

工具及漏洞说明:针对邮件系统MDaemon远程代码执行漏洞的利用工具。

受影响产品及版本:受影响的MDaemon是美国Alt-N公司开发的一款标准SMTP/POP/IMAP邮件系统。

较旧的不受支持的版本(9.x–11.x)可能容易受到EasyBee攻击。

版本12.x和13.0可能容易受到EasyBee使用的漏洞利用影响。

版本13.5和更新版本不容易受到攻击。

应对建议:将所有旧的、不受支持的MDaemon版本升级到最新的、安全的版本。参考官方网站http://www.altn.com/Support/进行漏洞升级。

2、Englishmansdentist

工具及漏洞说明:针对Outlook Exchange邮件系统的漏洞利用程序,可攻击开放http 80或https 443端口提供web访问的Outlook Exchange邮件系统。

受影响产品及版本:Outlook Exchange邮件系统早期版本Exchange 2003,Exchange 2007。

应对建议:升级到Exchange 2010及以上版本,安全备份邮件数据。

3、Ewokfrenzy

工具及漏洞说明:针对 Lotus Domino软件IMAP服务的漏洞攻击工具。

受影响产品及版本:IBM Lotus Domino 6.5.4 to 7.0.2。

应对建议:升级最新、安全的版本或使用其他替代产品,安全备份邮件数据。

4、Emphasismine

工具及漏洞说明:针对 Lotus Domino软件IMAP服务的漏洞攻击工具。

受影响产品及版本:Lotus Domino 6.5.4, 6.5.5, 7.0-8.5.2。

应对建议:升级最新、安全的版本或使用其他替代产品,安全备份邮件数据。

二、其他应急措施

除了上述针对各类利用漏洞的防护建议外,特别是针对Windows XP和Windows 2003等停止更新服务的系统,建议广大用户在网络边界、内部网络区域、主机资产、数据备份方面还要做好如下应急措施工作,避免和降低网络攻击风险:

(一)做好本单位Windows XP和Windows 2003主机的排查;

(二)升级更新终端安全防护软件,加强网络和主机的安全防护。

(三)做好信息系统业务和文件数据在不同存储介质上的安全可靠备份。

CNCERT将持续对相关利用漏洞进行相关检测和攻击监测相关工作,并将继续跟踪事件后续情况。如需技术支援,请联系CNCERT,电子邮箱cncert@cert.org.cn,联系电话010-82990999。