文章摘要： 近日，Shadow Brokers（影子经纪人）组织在互联网上发布了此前获得的部…

1、CNNVD关于多个微软产品漏洞的通报

　　近日，Shadow Brokers（影子经纪人）组织在互联网上发布了此前获得的部分方程式黑客组织（Equation Group）的文件信息，其中包含多款针对MicrosoftWindows操作系统以及其他服务器系统软件开发的漏洞利用工具。由于上述工具所使用的漏洞危害程度高、利用方式简单且攻击成功率高，对国家政企单位重要信息关键基础设施可能造成重大影响。

　　为此，国家信息安全漏洞库（CNNVD）对此进行了跟踪分析，对所涉及的漏洞信息进行重要预警，情况如下：

一、漏洞简介

　　MicrosoftWindows是美国微软（Microsoft）公司发布的一系列操作系统。

本次共涉及Windows操作系统漏洞信息12个（漏洞详情见附件一），通过泄露的利用工具，攻击者可利用上述漏洞对Windows操作系统远程执行恶意代码。

漏洞编号如下：

超危漏洞9个：

CNNVD-201703-726、CNNVD-201703-725、CNNVD-201703-724、CNNVD-201703-723、CNNVD-201703-721、CNNVD-201009-132、CNNVD-200910-232、CNNVD-200909-131、CNNVD-200810-406。

高危漏洞1个：

CNNVD-200910-226。

中危漏洞2个：

CNNVD-201703-722、CNNVD-201411-318。

以上漏洞影响包括但不限于Windows XP 、Windows 2000、Windows Vista、Windows 7、Windows 8、WindowsServer 2008、Windows Server 2012等多个微软重要产品。

二、影响范围

截止目前，根据统计显示：

1、全球可能受到影响的Windows操作系统主机超过750万台。其中，约有542万的RDP服务和约有208万的SMB协议服务运行在Ｗindows上。

2、我国可能受到影响的Windows操作系统主机超过133万。其中，约有超过101万的RDP服务和超过32万的SMB协议服务运行在Ｗindows上。

三、修复措施

目前，微软官方已发表声明，涉及的大部分漏洞已在微软支持的产品中修复并发布安全公告。请用户及时检查是否受到漏洞影响。如确认受到相关漏洞影响，可采取以下措施：

(一)   升级修复

受影响用户可根据以下解决方案中相关信息进行升级（补丁链接见附件二），微软官方公告的解决方案对应表如下所示：

　　另外，使用Window XP和Windowsserver 2003操作系统的主机，应及时排查并尽快迁移重要数据，以消除漏洞隐患。

(二)   临时缓解

如用户不方便升级，可采取以下临时解决方案：

１.关闭Windows Server 137、139、445、3389端口。若3389端口必须开启，则关闭Windows Server智能卡登陆功能。

２. 加强访问控制策略，尤其针对137、139、445、3389端口。同时加强对以上端口的内网审计，消除可能存在的安全隐患。3.  及时更新相关的终端安全软件确保添加件

附件一漏洞详情

附件二 补丁链接

2、ShadowBrokers方程式工具包浅析，揭秘方程式组织工具包的前世今生

　　今日，臭名昭著的方程式组织工具包再次被公开，TheShadowBrokers在steemit.com博客上提供了相关消息。据此，腾讯云鼎实验室对此进行了分析。本次被公开的工具包大小为117.9MB，包含23个黑客工具，其中部分文件显示NSA曾入侵中东SWIFT银行系统，工具包下载接见文后参考信息。

解密后的工具包：

　　其中Windows目录包括Windows利用工具和相关攻击代码，swift目录中是银行攻击的一些证据，oddjob目录是植入后门等相关文档。

Windows 目录：

　　Windows目录下包含了各种漏洞利用工具，在exploits中包含了丰富的漏洞利用工具，可影响windows多个平台。

其中有三个目录较为重要：

A、Exploits：

包含了很多漏洞利用工具，这里摘取一些进行简要介绍：

　　经过初步梳理，重点关注对winserver有影响的几个工具，更多工具展示见参考3。

Explodingcan IIS漏洞利用工具,只对Windows 2003有影响

Eternalromance   SMB 和 NBT漏洞利用工具，影响端口139和445 

Emphasismine   通过IMAP漏洞攻击，攻击的默认端口为143

Englishmansdentist   通过SMTP漏洞攻击，默认端口25

Erraticgopher 通过RPC漏洞攻击，端口为445

Eskimoroll   通过kerberos漏洞进行攻击，默认攻击端口88

Eclipsedwing   MS08-67漏洞利用工具

Educatedscholar   MS09-050漏洞利用工具

Emeraldthread MB和 Netbios 漏洞利用工具，使用445端口和 139端口

Zippybeer   SMTP漏洞利用工具，默认端口 445

Eternalsynergy   SMB漏洞利用工具，默认端口 445

Esteemaudit  RDP漏洞利用工具，默认攻击端口为3389

B、FUZZBUNCH：

是一个类似 MSF的漏洞利用平台工具，python编写。

C、Specials：

ETERNALBLUE ：利用SMB漏洞，攻击开放445端口的windows机器。

影响范围如图：

ETERNALCHAMPION ：利用SMB漏洞，攻击开放445端口的windows机器。

影响范围如图：

可以看出，其中多个工具，对于windowsserver系统均有覆盖。

ODDJOB目录：

支持向如下系统中植入后门代码，可以对抗avira和norton的检测。

工具包中提供了一个常见反病毒引擎的检测结论。

存放一些金融信息系统被攻击的一些信息。部分被入侵的机器信息如下：

下面excel文件表明，方程式组织可能对埃及、迪拜、比利时的银行有入侵的行为。

其中一个入侵日志：

对我们的警示：

　　本次公开的工具包中，包含多个Windows 漏洞的利用工具，只要Windows服务器开了25、88、139、445、3389 等端口之一，就有可能被黑客攻击，其中影响尤为严重的是445和3389端口。在未来的一段时间内，互联网上利用这些公开的工具进行攻击的情况会比较多，除了提醒用户，发布预警外，需要加强入侵监控和攻击防范。

临时缓解措施：

1）升级系统补丁，确保补丁更新到最新版本。

2）使用防火墙、或者安全组配置安全策略，屏蔽对包括445、3389在内的系统端口访问。

参考附录：

https://steemit.com/shadowbrokers/@theshadowbrokers/lost-in-translation

https://github.com/x0rz/EQGRP_Lost_in_Translation

https://zhuanlan.zhihu.com/p/26375989

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/