校属各单位:
Shadow Brokers组织发布了包含针对Windows操作系统以及其他服务器系统软件的多个高危漏洞利用工具,由于攻击工具集成化程度高、部分攻击利用方式较为高效,有可能引发互联网上针对服务器主机的大规模攻击。涉及的产品包括:Windows操作系统及其IIS和SMTP客户端服务组件、IBM Lotus办公服务组件、MDaemon邮件系统、IMAIL邮件系统等,其中威胁较大的漏洞利用工具如下:
| 工具名称 |
主要用途 |
| ECLIPSEDWING |
对应MS08-067漏洞,但影响到Windows 2008及以上操作系统版本 |
| EXPLODINGCAN |
IIS 6.0漏洞利用工具,影响范围:Windows server 2003 |
| ETERNALROMANCE |
SMB和NBT漏洞,对应MS17-010漏洞,针对139和445端口发起攻击,影响范围Windows XP、2003、Vista、7、Windows 8、2008,2008 R2 |
| EMERALDTHREAD |
SMB和NETBIOS漏洞,对应MS10-061漏洞,针对139和445端口,影响范围Windows XP、2003 |
| EDUCATEDSCHOLAR |
SMB服务漏洞,对应MS09-050漏洞,针对445端口 |
| EMPHASISMINE |
IBM Lotus IMAP服务漏洞,针对143端口 |
| ENGLISHMANSDENTIST |
SMTP邮件客户端漏洞,针对25端口,有可能触发客户端执行代码 |
| ERRATICGOPHER |
SMBv1服务漏洞,针对445端口,影响范围:Windows XP、Windows server 2003,不影响windows Vista及之后的操作系统 |
| ETERNALBLUE |
SMBv1、SMBv2漏洞,对应MS17-010,针对445端口,影响范围:较广,从Windows XP到Windows 2012 |
| ETERNALSYNERGY |
SMBv3漏洞,对应MS17-010,针对445端口,影响范围:Windows8、Server2012 |
| ETERNALCHAMPION |
SMBv2漏洞,针对445端口 |
| ESKIMOROLL |
Kerberos协议漏洞,针对88端口,对应MS14-068漏洞,影响范围:Windows 2000、2003、2008 |
| ESTEEMAUDIT |
RDP服务的远程漏洞利用工具,针对3389端口,影响范围:WindowsXP、Windows server 2003 |
| EASYBEE |
MDaemon电子邮件系统漏洞 |
| EASYPI |
IBM Lotus Notes漏洞 |
| EWORKFRENZY |
IBM Lotus Domino6.5.4和7.0.2漏洞 |
| ETRE |
IMail邮件系统漏洞,影响范围:IMail8.1-8.22 |
| FUZZBUNCH |
方程式组织建立的漏洞分析和利用平台 |
| ODDJOB |
针对国外知名杀毒软件而编写的防杀Rootkit利用工具 |
根据微软官方发布的声明,上述大部分漏洞已在微软支持的产品中修复。由于微软已经停止对Windows XP和Windows Server 2003的安全更新,因此对于XP和2003用户以及其他未打补丁的用户直接构成攻击威胁。
| 微软官方公告解决方案对应表 |
| 工具名称 |
解决方案 |
| “EternalBlue” |
MS17-010 |
| “EmeraldThread” |
MS10-061 |
| “EternalChampion” |
对应CVE-2017-0146、CVE-2017-0147已有的解决方案 |
| “ErraticGopher” |
Windows Vista发布时已有解决方案 |
| “EsikmoRoll” |
MS14-068 |
| “EternalRomance” |
MS17-010 |
| “EducatedScholar” |
MS09-050 |
| “EternalSynergy” |
MS17-010 |
| “EclipsedWing” |
MS08-067 |
经核实,我校涉及以上安全漏洞中的多个威胁,我中心已经在校园网出口进行了必要的边界限制,考虑到近期有可能出现的攻击威胁,根据CNVD建议,请我校各相关单位和个人用户做好以下防范措施:
(一)关闭135、137、139、445、3389等端口的外部网络访问权限,在服务器上关闭不必要的上述服务端口;
(二)加强对135、137、139、445、3389等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;
(三)做好本单位Window XP和Windows server 2003主机的排查,使用替代操作系统;
(四)IMAIL、IBMLotus、MDaemon等软件产品用户需要及时关注厂商安全更新,及时修复。
信息技术中心
2017年4月17日
