以前被Shadow Broker 影子經(jīng)紀(jì)人泄露過的三個(gè)NSA漏洞近期被作出修改,現(xiàn)在可以攻擊Windows 2000到Server 2016的所有標(biāo)準(zhǔn)和工作站版本。Github已經(jīng)公開了相關(guān)資料。
在此之前��,EternalSynergy永恒協(xié)作����、EternalRomance永恒浪漫和EternalChampion永恒冠軍曾被用于NotPetya網(wǎng)絡(luò)攻擊。然而�����,它們并沒有和EternalBlue一樣被惡意行為者所使用����,因?yàn)樗鼈儫o法在最新的Windows版本上使用?�,F(xiàn)在��,風(fēng)險(xiǎn)感知安全研究人員Sean Dillon(又名@ zerosum0x0)已經(jīng)改變了這一點(diǎn),他將Microsoft服務(wù)器消息塊SMB漏洞移植到了過去18年來發(fā)布的所有Windows版本上�。
研究員開發(fā)了NSA漏洞利用工具并發(fā)布了免責(zé)聲明
真是糟心的無事生非����,狄龍的免責(zé)聲明警告說:
這個(gè)軟件純粹是為了學(xué)術(shù)研究和開發(fā)有效的防御技術(shù)的目的而創(chuàng)建的����,除非明確授權(quán),否則不打算用于攻擊系統(tǒng)�。
作者和項(xiàng)目維護(hù)者不對軟件的濫用負(fù)責(zé)�。
MS17-010 #EternalSynergy #EternalRomance#EternalChampion漏洞利用和@Metasploit輔助模塊���。支持Windows 2000到2016。
這些漏洞的“新的和改進(jìn)的”版本����,被移植到Metasploit框架中����。
EternalSynergy永恒協(xié)作��、EternalRomance永恒浪漫和EternalChampion永恒冠軍工作原理
Tripwire 解釋說:
“每個(gè)修改后的漏洞利用遠(yuǎn)程命令和代碼執(zhí)行模塊�,依靠zzz_exploit改編��,因?yàn)樗鼈兝肧MB連接會(huì)話結(jié)構(gòu)來獲得Admin / SYSTEM訪問權(quán)限�����。與EternalBlue不同的是����,EternalSynergy、EternalRomance和EternalChampion不使用內(nèi)核shellcode來載入Meterpreter�。
有人仍然可以登臺(tái)Meterpreter��,這是Metasploit滲透測試軟件附帶的一個(gè)有效Payload,但他們可能需要逃避它們的有效Payload�����。
雖然這并不意味著這是EternalBlue的終點(diǎn)��,但Dillon指出:
與EternalBlue相比��,這個(gè)模塊是非常可靠和優(yōu)先的���,在這個(gè)模塊中,匿名登錄(通常是Vista以前的所有東西����,對于野外的域計(jì)算機(jī)都比較常見)是可以訪問的��。
CVE-2017-0146(EternalChampion /EternalSynergy) - 利用事務(wù)請求利用競爭條件
CVE-2017-0143(EternalRomance /EternalSynergy) - 利用WriteAndX和Transaction請求之間的類型混淆
安全研究員凱文·博蒙特(Kevin Beaumont)試用了這個(gè)軟件,并補(bǔ)充說它是可靠的��,不會(huì)像EternalBlue那樣造成藍(lán)屏死機(jī)�����。
重要的一點(diǎn):SMB漏洞利用(在MS17-010 +中修復(fù))現(xiàn)在移植到Windows 2000直到Windows Server 2016�,以及兩者之間的所有版本���。非?���?煽?,不會(huì)像EternalBlue一樣造成藍(lán)屏。
根據(jù)Heimdal Security的說法��,攻擊者不會(huì)將shellcode注入到目標(biāo)系統(tǒng)中��,而是控制它��,攻擊者將嘗試覆蓋SMB(服務(wù)器消息塊)連接會(huì)話結(jié)構(gòu),以獲得對系統(tǒng)的管理權(quán)限�。
三個(gè)漏洞利用已經(jīng)成為滲透測試工具M(jìn)etasploit最受歡迎的模塊
Dillon補(bǔ)充說:“與EternalBlue不同的是�����,exploit模塊將會(huì)下載到磁盤(或使用PowerShell命令)”。
在短短幾天的時(shí)間里,新修改的漏洞成為Metasploit最受歡迎的兩個(gè)測試模塊����。
exploit / windows / smb / ms17_010_psexec和/admin/admin/smb/ms17_010_command現(xiàn)在肯定是@Metasploit中所有測試最嚴(yán)格的模塊之一�����。
Heimdal Security寫道:
“值得一提的是,這些攻擊可能具有自我復(fù)制的能力,能夠快速傳播并影響大量機(jī)器�,所以我們敦促您應(yīng)用所有可用的軟件補(bǔ)丁����?!?/p>
微軟在2017年三月就發(fā)布了補(bǔ)丁���,如果您還沒有部署����,現(xiàn)在請立刻安裝�。微軟安全補(bǔ)丁通告3月從MS17-006到MS17-023 補(bǔ)丁終于來了。
三個(gè)漏洞可以攻擊的Windows版本
重新開發(fā)的NSA漏洞利用工具可以在2000年以后發(fā)布的所有Windows的未打補(bǔ)丁的版本(32位和64位體系結(jié)構(gòu))上工作,如下是可以利用的Windows版本列表:
Windows 2000 SP0 x86
Windows 2000 Professional SP4 x86
Windows 2000 Advanced Server SP4 x86
Windows XP SP0 x86
Windows XP SP1 x86
Windows XP SP2 x86
Windows XP SP3 x86
Windows XP SP2 x64
Windows Server 2003 SP0 x86
Windows Server 2003 SP1 x86
Windows Server 2003企業(yè)版SP 2 x86
Windows Server 2003 SP1 x64
Windows Server 2003 R2 SP1 x86
Windows Server 2003 R2 SP2 x86
Windows Vista家庭高級版x86
Windows Vista x64
Windows Server 2008 SP1 x86
Windows Server 2008 x64
Windows 7 x86
Windows 7旗艦版SP1 x86
Windows 7企業(yè)版SP1 x86
Windows 7 SP0 x64
Windows 7 SP1 x64
Windows Server 2008 R2 x64
Windows Server 2008 R2 SP1 x64
Windows 8 x86
Windows 8 x64
Windows Server 2012 x64
Windows 8.1企業(yè)評估版9600 x86
Windows 8.1 SP1 x86
Windows 8.1 x64
Windows 8.1 SP1 x64
Windows Server 2012 R2 x86
Windows Server 2012 R2 Standard 9600 x64
Windows Server 2012 R2 SP1 x64
Windows 10 Enterprise 10.10240 x86
Windows 10企業(yè)版10.10240 x64
Windows 10 10.10586 x86
Windows 10 10.10586 x64
Windows Server 2016 10.10586 x64
Windows 10 10.0.14393 x86
Windows 10企業(yè)版評估10.14393 x64
Windows Server 2016數(shù)據(jù)中心版本10.14393x64
近日,有報(bào)道稱美國國家安全局(NSA)旗下的“方程式黑客組織”使用的部分網(wǎng)絡(luò)武器被公開���,其中包括可以遠(yuǎn)程攻破全球約70%Windows機(jī)器的漏洞利用工具��。360公司第一時(shí)間驗(yàn)證了這些工具真實(shí)性并發(fā)布了紅色警報(bào)���。
據(jù)披露���,此次被曝光的NSA惡意軟件無需用戶操作���,即可聯(lián)網(wǎng)展開遠(yuǎn)程攻擊�����。木馬黑產(chǎn)很可能通過改造NSA武器制作出與沖擊波、震蕩波�、Conficker等類似的蠕蟲大規(guī)模傳播��。一夜之間,全球的計(jì)算機(jī)用戶都已被置于“危墻之下”�����,堪稱網(wǎng)絡(luò)世界的“核彈危機(jī)”���。
圖:“Shadow Brokers”公布的NAS文件
對于廣大windows用戶來說���,此次武器庫泄露無疑是一個(gè)晴天霹靂�。
360公司作為國內(nèi)最大的網(wǎng)絡(luò)安全企業(yè),密切關(guān)注此次NSA黑客工具泄露事件���。公司經(jīng)過反復(fù)驗(yàn)證,為廣告windows用戶提出以下緩解方案���,希望可以幫助網(wǎng)友們盡量避免攻擊威脅��。
一���、關(guān)閉Windows 服務(wù)器端口���,規(guī)避攻擊風(fēng)險(xiǎn)
圖:NAS武器庫中包含的可利用漏洞工具
專家專門通過解壓分析這些文件�����,發(fā)現(xiàn)這些黑客軟件包含IIS 6.0 遠(yuǎn)程漏洞利用工具、 SMB 漏洞利用程序����、RDP 服務(wù)的遠(yuǎn)程漏洞利用工具等�。
他們可以攻擊開放了 445 端口��、3389 端口的全部或部分 Windows 機(jī)器����。黑客們利用這些特點(diǎn)可以遠(yuǎn)程竊取用戶電腦中的數(shù)據(jù)�����、監(jiān)控用戶使用行為���,甚至可以遠(yuǎn)程控制用戶電腦��,給用戶造成損失。只要 Windows 服務(wù)器開了135、445�����、3389 其中的端口之一���,就有很大概率可以直接被攻擊���。
圖:NAS武器攻擊范圍
因此Windows用戶可以使用防火墻過濾個(gè)人電腦�����,并且臨時(shí)關(guān)閉135����、137�、445端口3389遠(yuǎn)程登錄(如果不想關(guān)閉3389遠(yuǎn)程登錄,至少也是關(guān)閉智能卡登錄功能)�,并注意更新安全產(chǎn)品進(jìn)行防御��,盡量降低電腦受攻擊的風(fēng)險(xiǎn)。
圖:電腦服務(wù)端口設(shè)置
二�����、及時(shí)更新安裝windows漏洞補(bǔ)丁����,降低受攻擊可能性
NSA網(wǎng)絡(luò)武器泄露后,微軟官方便在微博中做出回應(yīng),聲稱微軟已經(jīng)評估了NSA武器庫攻擊的Windows系統(tǒng)漏洞�,并且在近期的windows補(bǔ)丁中對大部分漏洞進(jìn)行了修復(fù)�。
圖:微軟官方頒布此前已經(jīng)修復(fù)NSA泄露武器波及的漏洞
因此�����,windows用戶可以通過微軟官方網(wǎng)站�,安裝最新的windows漏洞補(bǔ)丁�����,降低電腦受NSA武器攻擊的可能性。
圖:微軟官方發(fā)布的修復(fù)NSA泄露武器補(bǔ)丁
但是,由于微軟早已停止對windows XP�����、Windows vista等微軟的舊系統(tǒng)提供服務(wù)���。Windows XP���、Windows vista并不在此次最新補(bǔ)丁的修復(fù)范圍之內(nèi)�,仍舊有可能受到NSA網(wǎng)絡(luò)武器的攻擊威脅。
三��、使用360“NSA武器庫免疫工具”進(jìn)行修復(fù)���,消除漏洞隱患
NSA網(wǎng)絡(luò)武器泄露事件發(fā)生后��,360安全衛(wèi)士最近推出了“NSA武器庫免疫工具”��,可以幫助Windows個(gè)人用戶預(yù)防NSA黑客武器的攻擊。
圖:360安全衛(wèi)士“NSA免疫工具”
針對不同版本W(wǎng)indows用戶�����,360“NSA免疫工具”可以掃描系統(tǒng)環(huán)境�����,檢測出NSA武器庫使用的漏洞是否已經(jīng)修復(fù)���,并提示用戶安裝相應(yīng)的補(bǔ)丁��。針對XP、2003等無補(bǔ)丁的系統(tǒng)版本用戶,免疫工具能夠幫助用戶關(guān)閉NSA黑客武器攻擊的高風(fēng)險(xiǎn)服務(wù),從而使NSA黑客武器無法攻擊系統(tǒng)�。
