近日,shadow brokers(影子經紀人)組織在網際網路上釋出了此前獲得的部分方程式黑客組織(equation group)的檔案資訊,其中包含多款針對microsoft windows作業系統以及其他伺服器系統軟體開發的漏洞利用工具。由于上述工具所使用的漏洞危害程度高、利用方式簡單且攻擊成功率高,對國家政企機關重要資訊關鍵基礎設施可能造成重大影響。
為此,國家資訊安全漏洞庫(cnnvd)對此進行了跟蹤分析,對所涉及的漏洞資訊進行重要預警,情況如下:
一、漏洞簡介
microsoft windows是美國微軟(microsoft)公司釋出的一系列作業系統。
本次共涉及windows作業系統漏洞資訊12個(漏洞詳情見附件一),通過洩露的利用工具,攻擊者可利用上述漏洞對windows作業系統遠端執行惡意代碼。漏洞編号如下:
超危漏洞9個:
cnnvd-201703-726、cnnvd-201703-725、cnnvd-201703-724、cnnvd-201703-723、cnnvd-201703-721、cnnvd-201009-132、cnnvd-200910-232、cnnvd-200909-131、cnnvd-200810-406。
高危漏洞1個:
cnnvd-200910-226。
中危漏洞2個:
cnnvd-201703-722、cnnvd-201411-318。
以上漏洞影響包括但不限于windows xp 、windows 2000、windows vista、windows 7、windows 8、windows server 2008、windows server 2012等多個微軟重要産品。
二、影響範圍
截止目前,根據統計顯示:
1、全球可能受到影響的windows作業系統主機超過750萬台。其中,約有542萬的rdp服務和約有208萬的smb協定服務運作在Windows上。
2、我國可能受到影響的windows作業系統主機超過133萬。其中,約有超過101萬的rdp服務和超過32萬的smb協定服務運作在Windows上。
三、修複措施
目前,微軟官方已發表聲明,涉及的大部分漏洞已在微軟支援的産品中修複并釋出安全公告。請使用者及時檢查是否受到漏洞影響。如确認受到相關漏洞影響,可采取以下措施:
(一) 更新修複
受影響使用者可根據以下解決方案中相關資訊進行更新(更新檔連結見附件二),微軟官方公告的解決方案對應表如下所示:
另外,使用window xp和windows server 2003作業系統的主機,應及時排查并盡快遷移重要資料,以消除漏洞隐患。
(二) 臨時緩解
如使用者不友善更新,可采取以下臨時解決方案:
關閉windows server 137、139、445、3389端口。若3389端口必須開啟,則關閉windows server智能卡登陸功能。
加強通路控制政策,尤其針對137、139、445、3389端口。同時加強對以上端口的内網審計,消除可能存在的安全隐患。
及時更新相關的終端安全軟體,以確定添加最新的安全政策和防護特征。
附件一 漏洞詳情