Posted by 铁名 on 01 May 2017 in 未知黑客工具包方程式组织 Windows 0day

关于方程式组织黑客工具包再曝光

您好，2017年4月15日，国外黑客组织Shadow Brokers泄露出了一份机密文档，其中包含了多个Windows 0Day远程漏洞利用工具，外部攻击者利用此工具可远程攻击并获取服务器控制权限，该漏洞影响极大。

关于方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)预警通知

最近收到好多客户服务器被入侵后，所有文件都会被篡改生成不同后缀名，或被人放后门等。

您好，2017年4月15日，国外黑客组织Shadow Brokers泄露出了一份机密文档，其中包含了多个Windows 0Day远程漏洞利用工具，外部攻击者利用此工具可远程攻击并获取服务器控制权限，该漏洞影响极大。

目前已知受影响的Windows版本包括但不限于(目前大量windows服务操作系统版本均在受影响之列)：
Windows NT
Windows 2000
Windows XP
Windows 2003
Windows Vista
Windows 7
Windows 8
Windows 2008
Windows 2008 R2
Windows Server 2012 SP0

为保证您在腾讯云上的业务安全，请您务必及时关注该漏洞并开展相应的安全整改措施，此次风险描述及修复方案如下：
【风险等级】
高风险a
【漏洞风险】
黑客可以通过发布的工具远程攻击服务器。
【影响服务】
主要影响SMB和RDP服务
【漏洞验证】确定服务器是否对外开启了137、139、445端口测试方法：服务器命令行窗口执行netstat -an查看是否有相应对口开放，同时亦可以通过访问http://tool.chinaz.com/port/（输入IP，下面填入137,139,445,3389）判断服务端口是否对外开启。注意：rdp是远程桌面服务，不局限于3389端口，如果您的windows远程桌面使用了其他端口，也在受影响之列。
【漏洞修复建议】1、推荐方案：更新官方补丁截至目前，方程式组织所使用的大部分漏洞均官方均已发布相关补丁，强烈建议您更新相关补丁。攻击工具所对应的补丁列表如下：
工具名称解决措施
“EternalBlue” Addressed by MS17-010

“EmeraldThread” Addressed by MS10-061

“EternalChampion” Addressed by CVE-2017-0146 & CVE-2017-0147
“ErraticGopher” Addressed priorto the release of Windows Vista
“EsikmoRoll” Addressed by MS14-068

“EternalRomance” Addressed by MS17-010

“EducatedScholar” Addressed by MS09-050

“EternalSynergy” Addressed by MS17-010

“EclipsedWing” Addressed by MS08-067
若您的服务器暂时不方便更新补丁，推荐的临时解决方案如下：
2、临时解决方案（两种方案）：

4月19日更新方案 1）

1）为了保证系统的安全性，我们建议您关闭安全组的【TCP协议下 137、139、445端口全部入网规则】、【UDP协议下137、445端口全部入网规则】，另外限制远程登录源IP地址，一般端口默认为：3389。

2) 针对windows2008版本及以上的系统可以临时关闭相应服务操作步骤如下:

a：未修复之前截图如下：