信息來源：國家互聯(lián)網(wǎng)應(yīng)急中心

         北京時間5月12日，全球互聯(lián)網(wǎng)遭受Wannacry勒索軟件蠕蟲感染。截止17日16時，CNCERT監(jiān)測發(fā)現(xiàn)全球近356.3萬個IP地址遭受“永恒之藍”SMB漏洞攻擊，其中位于我國境內(nèi)的IP地址數(shù)量接近12.5萬個，對我國互聯(lián)網(wǎng)造成嚴(yán)重的安全威脅。綜合CNCERT和國內(nèi)網(wǎng)絡(luò)安全企業(yè)已獲知的樣本情況和分析結(jié)果，該勒索軟件蠕蟲在傳播時基于445端口并利用SMB漏洞（對應(yīng)微軟漏洞公告：MS17-010），可以判斷是由于“影子經(jīng)紀(jì)人”（Shadow Brokers）組織此前公開披露漏洞攻擊工具而導(dǎo)致的后續(xù)勒索軟件蠕蟲攻擊。

         2017年4月14日晚，“影子經(jīng)紀(jì)人”組織在互聯(lián)網(wǎng)上發(fā)布“方程式”（Equation Group）組織的部分工具文件，包含針對Windows操作系統(tǒng)以及其他辦公、郵件軟件的多個高危漏洞攻擊工具，這些工具集成化程度高、部分攻擊利用方式較為高效。針對可能引發(fā)的互聯(lián)網(wǎng)上針對Window操作系統(tǒng)主機或應(yīng)用軟件的大規(guī)模攻擊，4月16日，CNCERT主辦國家信息安全漏洞共享平臺（CNVD）發(fā)布《關(guān)于加強防范Windows操作系統(tǒng)和相關(guān)軟件漏洞攻擊風(fēng)險的情況公告》（訪問鏈接：http://www.cnvd.org.cn/webinfo/show/4110）。時隔不到一個月，Wannacry勒索軟件蠕蟲大范圍感染事件也印證了當(dāng)時推測的嚴(yán)重危害。

         針對“影子經(jīng)紀(jì)人”發(fā)布的黑客使用的大量針對Windows操作系統(tǒng)以及其他廣泛應(yīng)用的軟件產(chǎn)品的工程化工具及其對應(yīng)的利用安全漏洞，CNCERT進行了詳細梳理，并提供相應(yīng)處置建議，提醒廣大互聯(lián)網(wǎng)用戶及時做好應(yīng)急處置，避免被惡意攻擊或利用。

         一、“影子經(jīng)紀(jì)人”組織披露的系列漏洞描述

       （一）Windows操作系統(tǒng)SMB協(xié)議相關(guān)漏洞及攻擊工具（共8個）

       1、ETERNALBLUE（“永恒之藍”）

        工具及漏洞說明：ETERNALBLUE是針對Windows系統(tǒng)SMB協(xié)議的漏洞利用程序，可以攻擊開放445 端口的大部分Windows主機。對應(yīng)漏洞的相關(guān)信息可參考Microsoft安全公告MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

        受影響軟件及版本：Windows XP至Windows 2012。

        補丁文件下載地址：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        2、Educatedscholar 

        工具及漏洞說明：Educatedscholar是針對Windows系統(tǒng)SMB 協(xié)議的漏洞利用程序，可以攻擊開放445 端口的特定版本W(wǎng)indows 主機。對應(yīng)漏洞的相關(guān)信息可參考微軟安全公告MS09-050（https://technet.microsoft.com/library/security/ms09-050）。

        受影響軟件及版本：Windows Vista、Windows Vista SP1 和 Windows Vista SP2；Windows Server 2008、Windows Server 2008 SP2。

        補丁文件下載地址：Windows安全更新程序 (KB975517)，http://www.catalog.update.microsoft.com/Search.aspx?q=975517

        3、Eternalsynergy

        工具及漏洞說明：Eternalsynergy是針對Windows系統(tǒng)SMBv3協(xié)議的遠程代碼執(zhí)行漏洞攻擊工具，可以攻擊開放445 端口的特定版本W(wǎng)indows 主機。對應(yīng)漏洞的相關(guān)信息可參考Microsoft 安全公告 MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

        受影響產(chǎn)品及版本：Windows 8和Windows Server 2012。

        補丁文件下載地址：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        4、Emeraldthread 

        工具及漏洞說明：Emeraldthread是針對Windows系統(tǒng)SMBv1協(xié)議允許遠程執(zhí)行代碼的漏洞攻擊工具。對應(yīng)漏洞的相關(guān)信息可參考Microsoft 安全公告 MS10-061（https://technet.microsoft.com/zh-cn/library/security/ms10-061.aspx）。

        受影響產(chǎn)品及版本：可能影響Windows XP、2003、Vista、2008、Windows7、2008 R2。 

        補丁下載地址：Windows安全更新程序 (KB2347290)， http://www.catalog.update.microsoft.com/Search.aspx?q=2347290

        5、Erraticgopher 

        工具及漏洞說明：Erraticgopher是針對Windows系統(tǒng)SMBv1協(xié)議的漏洞攻擊工具， Windows Vista發(fā)布的時候已經(jīng)修復(fù)該漏洞，但之前的版本可能受影響。

        受影響產(chǎn)品及版本：Windows XP和Windows Server 2003。

        6、Eternalromance 

        工具及漏洞說明：Eternalromance是針對Windows系統(tǒng)SMBv1協(xié)議的漏洞攻擊工具，可能影響大部分Windows版本。對應(yīng)漏洞的相關(guān)信息可參考Microsoft 安全公告 MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

        受影響產(chǎn)品及版本：Windows XP/Vista/7/2003/2008。

        補丁文件下載地址：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        7、Eclipsedwing 

        工具及漏洞說明：Eclipsedwing是針對Windows系統(tǒng)SMB/NBT協(xié)議中可能允許遠程執(zhí)行代碼的漏洞利用工具，對應(yīng)漏洞的相關(guān)信息見Microsoft 安全公告 MS08-067（https://technet.microsoft.com/library/security/ms08-067）。

        受影響產(chǎn)品及版本：Windows XP/2003/2008。

        補丁下載地址：Windows安全更新程序 (KB958644)，http://www.catalog.update.microsoft.com/Search.aspx?q=958644

        8、EternalChampion

        工具及漏洞說明：EternalChampion是針對Windows系統(tǒng)SMBv1協(xié)議的漏洞攻擊工具，可能影響大部分Windows版本。對應(yīng)漏洞的相關(guān)信息可參考Microsoft 安全公告 MS17-010（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

        受影響產(chǎn)品及版本：全平臺Windows。

        補丁文件下載地址：Windows安全更新程序 (KB4012598)，http://www.catalog.update.microsoft.com/search.aspx?q=4012598

        針對上述SMB等協(xié)議相關(guān)漏洞及攻擊工具的相關(guān)建議如下：

      （1）及時更新和安裝Windows已發(fā)布的安全補?。?/span>

      （2）關(guān)閉135、137、139、445等端口的外部網(wǎng)絡(luò)訪問權(quán)限，在主機上關(guān)閉不必要的上述服務(wù)端口；

      （3）加強對135、137、139、445等端口的內(nèi)部網(wǎng)絡(luò)區(qū)域訪問審計，及時發(fā)現(xiàn)非授權(quán)行為或潛在的攻擊行為；

      （4）由于微軟對部分操作系統(tǒng)停止對Window XP和Windows server 2003的安全更新，建議對這兩類操作系統(tǒng)主機重點進行排查。針對上述漏洞，Window XP和Windows Server 2003用戶以及其他無法直接使用Windows自動更新功能的用戶可根據(jù)Windows系統(tǒng)和版本自行從微軟官網(wǎng)（見上述各個漏洞工具描述中提供的補丁下載地址鏈接）下載補丁文件并安裝。

      （二）Windows系統(tǒng)RDP、IIS、Kerberos協(xié)議相關(guān)漏洞及攻擊工具（共3個）

        1、Esteemaudit 

       工具及漏洞說明：ESTEEMAUDIT是一個針對3389端口的遠程溢出程序，它利用Windows 遠程桌面訪問RDP協(xié)議缺陷實施攻擊。

       受影響產(chǎn)品及版本：目前已知可能受影響的操作系統(tǒng)是Windows XP和Windows Server 2003。

        應(yīng)對建議：由于微軟公司已經(jīng)停止對Windows XP和Windows Server 2003的安全更新，使用這兩種版本操作系統(tǒng)并且開放RDP3389端口服務(wù)的計算機用戶需要盡快開展處置措施。

      （1）如不需要遠程訪問,建議關(guān)閉遠程協(xié)助功能和遠程桌面訪問，開啟網(wǎng)絡(luò)防火墻、Windows防火墻攔截RDP默認端口的訪問；

      （2）如果業(yè)務(wù)需要開啟遠程訪問，建議配置網(wǎng)絡(luò)防火墻或Windows防火墻只允許信任的白名單IP地址的訪問，或者將RDP服務(wù)端口3389配置（映射）為其他非常用端口；

      （3）由于微軟對部分操作系統(tǒng)停止對Window XP和Windows server 2003的安全更新，建議對這兩類操作系統(tǒng)主機重點進行排查。

         2、Eskimoroll  

        工具及漏洞說明：Eskimoroll是 Kerberos協(xié)議允許特權(quán)提升的Kerberos漏洞攻擊工具，可能影響Windows域控服務(wù)。詳細情況可參考微軟安全公告MS14-068（https://technet.microsoft.com/zh-cn/library/security/ms14-068.aspx）。

        受影響產(chǎn)品及版本：Windows 2000/2003/2008/2012。

        補丁下載地址：Windows安全更新程序 (KB3011780)，http://www.catalog.update.microsoft.com/Search.aspx?q=3011780

        應(yīng)對建議：針對Windows 2003/2008/2012，下載和升級系統(tǒng)補丁，并在防火墻中配置tcp 88端口的安全訪問控制。針對不提供升級更新支持的Windows 2000，建議重點進行排查。

        3、Explodingcan

        工具及漏洞說明：Explodingcan是針對Windows 2003系統(tǒng) IIS6.0服務(wù)的遠程攻擊工具，但需要目標(biāo)主機開啟WEBDAV才能攻擊，不支持安全補丁更新。

        受影響產(chǎn)品及版本：Windows 2003 IIS6.0（開啟WEBDAV）。

        應(yīng)對建議：微軟不再支持Windows 2003系統(tǒng)安全更新，建議關(guān)閉WEBDAV，使用WAF、IPS等安全防護，或者升級操作系統(tǒng)。

       （三）辦公軟件及郵件系統(tǒng)相關(guān)漏洞及攻擊工具（共4個）

       1、Easybee  

        工具及漏洞說明：針對郵件系統(tǒng)MDaemon遠程代碼執(zhí)行漏洞的利用工具。

        受影響產(chǎn)品及版本：受影響的MDaemon是美國Alt-N公司開發(fā)的一款標(biāo)準(zhǔn)SMTP/POP/IMAP郵件系統(tǒng)。

        較舊的不受支持的版本（9.x–11.x）可能容易受到EasyBee攻擊。

        版本12.x和13.0可能容易受到EasyBee使用的漏洞利用影響。

        版本13.5和更新版本不容易受到攻擊。

        應(yīng)對建議：將所有舊的、不受支持的MDaemon版本升級到最新的、安全的版本。參考官方網(wǎng)站http://www.altn.com/Support/進行漏洞升級。

        2、Englishmansdentist 

        工具及漏洞說明：針對Outlook Exchange郵件系統(tǒng)的漏洞利用程序，可攻擊開放http 80或https 443端口提供web訪問的Outlook Exchange郵件系統(tǒng)。

        受影響產(chǎn)品及版本：Outlook Exchange郵件系統(tǒng)早期版本Exchange 2003，Exchange 2007。

       應(yīng)對建議：升級到Exchange 2010及以上版本，安全備份郵件數(shù)據(jù)。

        3、Ewokfrenzy

        工具及漏洞說明：針對 Lotus Domino軟件IMAP服務(wù)的漏洞攻擊工具。

        受影響產(chǎn)品及版本：IBM Lotus Domino 6.5.4 to 7.0.2。

        應(yīng)對建議： 升級最新、安全的版本或使用其他替代產(chǎn)品，安全備份郵件數(shù)據(jù)。

        4、Emphasismine 

       工具及漏洞說明：針對 Lotus Domino軟件IMAP服務(wù)的漏洞攻擊工具。

        受影響產(chǎn)品及版本：Lotus Domino 6.5.4, 6.5.5, 7.0-8.5.2。

        應(yīng)對建議： 升級最新、安全的版本或使用其他替代產(chǎn)品，安全備份郵件數(shù)據(jù)。

        二、其他應(yīng)急措施

        除了上述針對各類利用漏洞的防護建議外，特別是針對Windows XP和Windows 2003等停止更新服務(wù)的系統(tǒng)，建議廣大用戶在網(wǎng)絡(luò)邊界、內(nèi)部網(wǎng)絡(luò)區(qū)域、主機資產(chǎn)、數(shù)據(jù)備份方面還要做好如下應(yīng)急措施工作，避免和降低網(wǎng)絡(luò)攻擊風(fēng)險：

       （一）做好本單位Windows XP和Windows 2003主機的排查；

       （二）升級更新終端安全防護軟件，加強網(wǎng)絡(luò)和主機的安全防護。

       （三）做好信息系統(tǒng)業(yè)務(wù)和文件數(shù)據(jù)在不同存儲介質(zhì)上的安全可靠備份。

        CNCERT將持續(xù)對相關(guān)利用漏洞進行相關(guān)檢測和攻擊監(jiān)測相關(guān)工作，并將繼續(xù)跟蹤事件后續(xù)情況。如需技術(shù)支援，請聯(lián)系CNCERT，電子郵箱cncert@cert.org.cn，聯(lián)系電話010-82990999。