文章摘要： 近日，Shadow Brokers（影子經紀人）組織在互聯網上發布了此前獲得的部…

1、CNNVD關于多個微軟產品漏洞的通報

　　近日，Shadow Brokers（影子經紀人）組織在互聯網上發布了此前獲得的部分方程式黑客組織（Equation Group）的文件信息，其中包含多款針對MicrosoftWindows操作系統以及其他服務器系統軟件開發的漏洞利用工具。由于上述工具所使用的漏洞危害程度高、利用方式簡單且攻擊成功率高，對國家政企單位重要信息關鍵基礎設施可能造成重大影響。

　　為此，國家信息安全漏洞庫（CNNVD）對此進行了跟蹤分析，對所涉及的漏洞信息進行重要預警，情況如下：

一、漏洞簡介

　　MicrosoftWindows是美國微軟（Microsoft）公司發布的一系列操作系統。

本次共涉及Windows操作系統漏洞信息12個（漏洞詳情見附件一），通過泄露的利用工具，攻擊者可利用上述漏洞對Windows操作系統遠程執行惡意代碼。

漏洞編號如下：

超危漏洞9個：

CNNVD-201703-726、CNNVD-201703-725、CNNVD-201703-724、CNNVD-201703-723、CNNVD-201703-721、CNNVD-201009-132、CNNVD-200910-232、CNNVD-200909-131、CNNVD-200810-406。

高危漏洞1個：

CNNVD-200910-226。

中危漏洞2個：

CNNVD-201703-722、CNNVD-201411-318。

以上漏洞影響包括但不限于Windows XP 、Windows 2000、Windows Vista、Windows 7、Windows 8、WindowsServer 2008、Windows Server 2012等多個微軟重要產品。

二、影響范圍

截止目前，根據統計顯示：

1、全球可能受到影響的Windows操作系統主機超過750萬臺。其中，約有542萬的RDP服務和約有208萬的SMB協議服務運行在Ｗindows上。

2、我國可能受到影響的Windows操作系統主機超過133萬。其中，約有超過101萬的RDP服務和超過32萬的SMB協議服務運行在Ｗindows上。

三、修復措施

目前，微軟官方已發表聲明，涉及的大部分漏洞已在微軟支持的產品中修復并發布安全公告。請用戶及時檢查是否受到漏洞影響。如確認受到相關漏洞影響，可采取以下措施：

(一)   升級修復

受影響用戶可根據以下解決方案中相關信息進行升級（補丁鏈接見附件二），微軟官方公告的解決方案對應表如下所示：

　　另外，使用Window XP和Windowsserver 2003操作系統的主機，應及時排查并盡快遷移重要數據，以消除漏洞隱患。

(二)   臨時緩解

如用戶不方便升級，可采取以下臨時解決方案：

１.關閉Windows Server 137、139、445、3389端口。若3389端口必須開啟，則關閉Windows Server智能卡登陸功能。

２. 加強訪問控制策略，尤其針對137、139、445、3389端口。同時加強對以上端口的內網審計，消除可能存在的安全隱患。3.  及時更新相關的終端安全軟件確保添加件

附件一漏洞詳情

附件二 補丁鏈接

2、ShadowBrokers方程式工具包淺析，揭秘方程式組織工具包的前世今生

　　今日，臭名昭著的方程式組織工具包再次被公開，TheShadowBrokers在steemit.com博客上提供了相關消息。據此，騰訊云鼎實驗室對此進行了分析。本次被公開的工具包大小為117.9MB，包含23個黑客工具，其中部分文件顯示NSA曾入侵中東SWIFT銀行系統，工具包下載接見文后參考信息。

解密后的工具包：

　　其中Windows目錄包括Windows利用工具和相關攻擊代碼，swift目錄中是銀行攻擊的一些證據，oddjob目錄是植入后門等相關文檔。

Windows 目錄：

　　Windows目錄下包含了各種漏洞利用工具，在exploits中包含了豐富的漏洞利用工具，可影響windows多個平臺。

其中有三個目錄較為重要：

A、Exploits：

包含了很多漏洞利用工具，這里摘取一些進行簡要介紹：

　　經過初步梳理，重點關注對winserver有影響的幾個工具，更多工具展示見參考3。

Explodingcan IIS漏洞利用工具,只對Windows 2003有影響

Eternalromance   SMB 和 NBT漏洞利用工具，影響端口139和445 

Emphasismine   通過IMAP漏洞攻擊，攻擊的默認端口為143

Englishmansdentist   通過SMTP漏洞攻擊，默認端口25

Erraticgopher 通過RPC漏洞攻擊，端口為445

Eskimoroll   通過kerberos漏洞進行攻擊，默認攻擊端口88

Eclipsedwing   MS08-67漏洞利用工具

Educatedscholar   MS09-050漏洞利用工具

Emeraldthread MB和 Netbios 漏洞利用工具，使用445端口和 139端口

Zippybeer   SMTP漏洞利用工具，默認端口 445

Eternalsynergy   SMB漏洞利用工具，默認端口 445

Esteemaudit  RDP漏洞利用工具，默認攻擊端口為3389

B、FUZZBUNCH：

是一個類似 MSF的漏洞利用平臺工具，python編寫。

C、Specials：

ETERNALBLUE ：利用SMB漏洞，攻擊開放445端口的windows機器。

影響范圍如圖：

ETERNALCHAMPION ：利用SMB漏洞，攻擊開放445端口的windows機器。

影響范圍如圖：

可以看出，其中多個工具，對于windowsserver系統均有覆蓋。

ODDJOB目錄：

支持向如下系統中植入后門代碼，可以對抗avira和norton的檢測。

工具包中提供了一個常見反病毒引擎的檢測結論。

存放一些金融信息系統被攻擊的一些信息。部分被入侵的機器信息如下：

下面excel文件表明，方程式組織可能對埃及、迪拜、比利時的銀行有入侵的行為。

其中一個入侵日志：

對我們的警示：

　　本次公開的工具包中，包含多個Windows 漏洞的利用工具，只要Windows服務器開了25、88、139、445、3389 等端口之一，就有可能被黑客攻擊，其中影響尤為嚴重的是445和3389端口。在未來的一段時間內，互聯網上利用這些公開的工具進行攻擊的情況會比較多，除了提醒用戶，發布預警外，需要加強入侵監控和攻擊防范。

臨時緩解措施：

1）升級系統補丁，確保補丁更新到最新版本。

2）使用防火墻、或者安全組配置安全策略，屏蔽對包括445、3389在內的系統端口訪問。

參考附錄：

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation

https://github.com/x0rz/EQGRP_Lost_in_Translation

https://zhuanlan.zhihu.com/p/26375989

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/