9159金沙官网MSRC表示会对披露的漏洞进行了彻底调

作者: 操作系统  发布:2019-11-20

美国国家安全局(NSA)旗下的“方程式黑客组织”(shadow brokers)使用的部分网络武器被公开,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。

4.jpg

说了这么多有的没的,我们回到起点,这些漏洞到底是从什么时候开始引起重视的?

收集和压缩语音通讯数据的GSM模块CROSSBEAM

据360安全中心分析,黑客正是通过使用NSA泄漏的“永恒之蓝”攻击Windows漏洞,把ONION、WNCRY等勒索病毒,通过Windows的445端口(文件共享),在网络上快速传播感染。这些病毒,无需用户任何交互性操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,从容植入勒索病毒等恶意程序。

针对Thuraya 2520的TOTECHASER,针对GSMSIM卡的GOPHERSET,针对iPhone的DROPOUTJEEP,针对802.11无线设备的SOMBERKNAVE,RF传输的HOWLERMONKEY,针对PCI总线的GINSU,针对主板BIOS的SWAP,针对MBR的IRATEMONK,内嵌式微型计算机系统SPARROWII,雷达系统PHOTOANGLO,能够扫描的平板电脑NIGHTWATCH,802.11无线漏洞利用工具NIGHTSTAND,针对Windows mobile的TOTEGHOSTLY2.0,针对EGSM的CYCLONE Hx9,GSM基站路由器TYPHONHX,持续信号雷达单元CTX4000,针对DNT的STUCCOMONTANA,针对GSM/UMTS/CDMA2000/FRS的ENTOURAGE,定位目标手持设备的坐标位置的WATERWITCH,MAESTRO-II,JUNIORMINT,TAWDRYYARD

9159金沙官网 1 

图:Kerberos安全认证原理
NSA武器库中的EskimoRoll(爱斯基摩卷) 就是Kerberos 的漏洞利用工具,它可以攻击 Windows 2000/2003/2008/2008 R2 的域控制器。Windows用户可以从微软官网下载补丁MS14-068修复该漏洞,也可使用360安全卫士等第三方软件扫描修复漏洞。

9159金沙官网 2 

PICASSO修改GSM目标设备,收集用户数据、地理位置信息、房间内语音。而且只需要通过一台笔记本电脑发送普通的SMS短信就可以实现控制了。

 

不需要安装软件就收集键盘记录的SURLYSPAWN

·PacketStormSecurity-ERRATICGOPHER(漂泊/古怪地鼠漏洞介绍)

其他兵器还包括,针对思科PIX系列和ASA防火墙的JETPLOW

Kerberos 是Windows活动目录中使用的客户/服务器认证协议,为通信双方提供双向身份认证。Kerberos通过身份验证服务和票据授予服务对电脑数据进行管理,实现Windows用户同服务器的数据交换。

实际上,除了这十大武器,在2013年就已经曝光过一系列NSA的Toolbox(2008年),一些简介如下:
首先介绍的是deitybounce,它提供一个软件应用利用主板的BIOS和利用系统管理模块(System Management Mode)的漏洞驻留在Dell的PowerEdge服务器上。受影响的包括Dell的PowerEdge1850/2850/1950 /2950,BIOS版本为A02,A05,A06的1.1.0,1.2.0或1.3.7通过远程接入或者interdiction的方式,ARKSTREAM在目标机器上对BIOS重新刷新,以实现deitybounce和加载payload,这里所说的interdiction实现方式,可能是通过非技术手段的让目标插入U盘,从而受感染。一旦deitybounce部署完,它就可配置而且在目标机器启动的时候运行。

  • i春秋

汇总作者:张宁祥
来源:
http://tech.china.com/article/20170421/2017042121995.html
http://www.techweb.com.cn/news/2017-04-20/2515190.shtml
http://www.freebuf.com/news/22073.html
【嵌牛导读】 比特币勒索病毒据说是来源于NSA黑客武器库中的一个漏洞,那么什么是NSA黑客武器库?
【嵌牛鼻子】 NSA黑客武器库
【嵌牛提问】我们应该做出那些防范措施?
【嵌牛正文】:
近日,有报道称美国国家安全局(NSA)旗下的“方程式黑客组织”使用的部分网络武器被公开,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。
其中,有十款工具最容易影响Windows个人用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。不法分子无需任何操作,只要联网就可以入侵电脑,就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网。
SMB漏洞攻击工具
SMB是一个网络文件共享协议,它允许应用程序和终端用户从远端的文件服务器访问文件资源,用于在计算机之间共享文件、打印机、串口和邮槽等。
此次泄露的NSA武器库中,包含了EternalBlue(永恒之蓝)、EternalChampion(永恒王者)、EternalRomance(永恒浪漫)、EternalSynergy(永恒协作)、 EmeraldThread(翡翠纤维)、ErraticGopher(古怪地鼠)、EducatedScholar(文雅学者)等SMB漏洞攻击工具。
NSA武器攻击的SMB漏洞都已经被微软补丁修复,在支持期的系统打全补丁就可以了。但是像XP、2003这些微软已经不支持的系统,还是需要使用360的“NSA武器库免疫工具”把高危服务关掉,就可以避免被远程攻击了。
RDP 漏洞攻击工具
RDP远程桌面服务是远程显示协议。用户可以通过它映像远程操控会话指导其他用户使用软件和系统,也可以用来监视客户机运行情况。Windows用户只要开启3389远程登陆端口便可以通过RDP 远程桌面服务对实现这一功能。
此次泄露的NSA武器中,同样包含着RDP远程桌面服务漏洞攻击工具EsteemAudit(尊重审查)。
EsteemAudit是支持Windows XP和Windows 2003的RDP漏洞远程攻击工具。黑客们利用它可以实现对中招电脑的远程操控,包括监视中招电脑的使用行为。凡是开放了3389远程登陆端口的 Windows 机器,都有可能受到攻击。
由于EsteemAudit影响的系统已经失去微软的支持,没有补丁修复漏洞。Windows用户需要关闭3389远程桌面,如果是服务器系统一定要开启3389端口,至少也要关闭智能卡登录功能,并在防火墙上严格限制来源IP。个人用户可以使用“NSA武器库免疫工具”进行防御。
Kerberos(三头狗)域控漏洞利用工具
Kerberos 是Windows活动目录中使用的客户/服务器认证协议,为通信双方提供双向身份认证。Kerberos通过身份验证服务和票据授予服务对电脑数据进行管理,实现Windows用户同服务器的数据交换。

(摘自KDNET凯迪社区)

3.jpg

·RDP 漏洞攻击工具

 

9159金沙官网 3

(摘自优选网)

COTTONMOUTH-I它是一个USB硬件设备,可以提供无线桥接进入目标网络,具备加载漏洞利用代码到目标主机的能力。


2.jpg

这是这十个漏洞的其中一个。总体来说,这十个漏洞的攻击工具按协议可以分为三类,分别为SMB漏洞,RDP漏洞和Kerberos漏洞。

6.jpg

 

5.jpg

·KDNET凯迪社区

1.jpg

当潜在漏洞经内部或外部来源上报给微软时,微软安全应急响应中心(Microsoft Security Response Center,缩写为MSRC)会立即进行彻底的调查。我们致力于迅速验证上报信息,确保置客户于风险中的真实、未解决的漏洞得到修复。一旦得到验证,工程团队会尽快修复被上报的问题。修复问题所需的时间会同受影响的产品、服务以及版本直接相关。同时,分析对用户的潜在威胁,以及漏洞被利用的可能性,我们也会摆在MSRC工作的首位。

9159金沙官网 4

EsteemAudit是支持Windows XP和Windows 2003的RDP漏洞远程攻击工具。黑客们利用它可以实现对中招电脑的远程操控,包括监视中招电脑的使用行为。凡是开放了3389远程登陆端口的 Windows 机器,都有可能受到攻击。

9159金沙官网 5

·SMB漏洞攻击工具

9159金沙官网 6

首先,EternalBlue漏洞的冲击并非突然爆发,早在4月8日就被一个名人“影子经纪人”黑客组织为了“抗议美国总统特朗普”,利用美国国家安全局基于微软系统一个漏洞的监控工具进行过网络攻击。这个工具当时在网上公布过,但是并没有引起足够的重视。

9159金沙官网 7

 

对于我们,大概只有依赖于网络提供商、学校信息化部门,以及360、金山等安全软件了。

北京时间5月12号晚间,这种恶意勒索软件病毒在世界各地迅速传播,电脑感染后即被锁死,弹出"哎哟,你的文件被加密了!"的显示框。用户被要求支付价值300美元的比特币才能解锁,否则所有资料将被删除。

9159金沙官网 8


其中,有十款工具最容易影响Windows个人用户,包括永恒之蓝、永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。不法分子无需任何操作,只要联网就可以入侵电脑,就像冲击波、震荡波等著名蠕虫一样可以瞬间血洗互联网。

 

(Kerberos安全认证原理)

 

(被EternelBlue入侵的电脑页面)

由于EsteemAudit影响的系统已经失去微软的支持,没有补丁修复漏洞。Windows用户需要关闭3389远程桌面,如果是服务器系统一定要开启3389端口,至少也要关闭智能卡登录功能,并在防火墙上严格限制来源IP。个人用户可以使用“NSA武器库免疫工具”进行防御。

 

http://www.sohu.com/a/134372861_689961

(摘自Sohu搜狐

·如果是XP、2003等没有补丁的系统,免疫工具会一键关闭NSA黑客武器攻击的高风险服务从而使黑客武器无法实施攻击。

 

http://www.yxqbx.com/keji/ruanjian/1740663.html

 

 

RDP远程桌面服务是远程显示协议。用户可以通过它映像远程操控会话指导其他用户使用软件和系统,也可以用来监视客户机运行情况。Windows用户只要开启3389远程登陆端口便可以通过RDP 远程桌面服务对实现这一功能。

剩下的三个漏洞——“EnglishmanDentist英国牙医”,“EsteemAudit 尊严审计”和“ExplodingCan 爆炸罐头”,在Windows 7、 Windows近期版本、 Exchange 2010以及Exchange较新版本中没有得到复现,所以使用上述版本的用户不存在安全风险。但是,我们强烈建议仍在使用这些产品先前版本的用户升级到更新版本。

 

NSA武器攻击的SMB漏洞都已经被微软补丁修复,在支持期的系统打全补丁就可以了。但是像XP、2003这些微软已经不支持的系统,还是需要使用360的“NSA武器库免疫工具”把高危服务关掉,就可以避免被远程攻击了。

 

·优选网

  • i春秋)

(腾讯电脑管家NSA武器库漏洞检测界面)



 


 

 

 

·Kerberos(三头狗)域控漏洞利用工具

这要从“EternalBlue永恒之蓝”漏洞开始说起。

就本次遭到披露的漏洞而言,大多数都已经被修复。以下是经过确认,已在版本更新中被解决的漏洞列表。

(摘自KDNET凯迪社区)

 

Shadow Brokers事件爆发后,微软安全应急响应中心MSRC已经在当天发出公告,MSRC表示会对披露的漏洞进行了彻底调查,并且表明就本次遭到披露的漏洞而言,大多数都已经被修复。以下是部分公告内容:

 

 

此次泄露的NSA武器库中,包含了EternalBlue(永恒之蓝)、EternalChampion(永恒王者)、EternalRomance(永恒浪漫)、EternalSynergy(永恒协作)、EmeraldThread(翡翠纤维)、ErraticGopher(古怪地鼠)、EducatedScholar(文雅学者)等SMB漏洞攻击工具。

 

·Sohu搜狐

 

  

(NSA武器库免疫工具界面)

 

https://packetstormsecurity.com/files/142160/ERRATICGOPHER-1.0.1-Windows-XP-2003-SMB-Exploit.html

 


 

 

SMB是一个网络文件共享协议,它允许应用程序和终端用户从远端的文件服务器访问文件资源,用于在计算机之间共享文件、打印机、串口和邮槽等。

情况紧迫,国内安全厂商也快速行动起来了。4月19日深夜,360安全卫士官方微博宣布推出“NSA武器库免疫工具”,可以一键检测修补漏洞;对于没有补丁的系统版本,也可以关闭NSA黑客武器攻击的高危服务,能够全面抵挡NSA武器库的攻击。

 9159金沙官网 9

·首先检测系统环境,判断当前系统版本,是否存在NSA黑客武器攻击的漏洞。


NSA武器库中的EskimoRoll(爱斯基摩卷)就是Kerberos的漏洞利用工具,它可以攻击 Windows2000/2003/2008/2008 R2的域控制器。Windows用户可以从微软官网下载补丁MS14-068修复该漏洞,也可使用360安全卫士等第三方软件扫描修复漏洞。

9159金沙官网 10

 

·如果是Win7、Win10等有补丁的系统,免疫工具会调用360安全卫士打好补丁;

漏洞名称

解决方案

“EternalBlue 永恒之蓝”

由MS17-010解决

“EmeraldThread 翡翠线”

由MS10-061解决

“EternalChampion 永恒冠军”

由CVE-2017-0146和CVE-2017-0147解决

“ErraticGopher 漂泊地鼠”

在Windows Vista发布之前就已经解决

“EsikmoRoll 爱斯基摩卷”

由MS14-068解决

“EternalRomance 永恒罗曼史”

由MS17-010解决

“EducatedScholar 受过教育的学者”

由MS09-050解决

“ EternalSynergy 永恒协同”

由MS17-010解决

“EclipsedWing 黯淡羽翼”

由MS08-067解决

最后,再来说一下360的“NSA武器库免疫工具”的原理

 

参考网站:

 

 

 

 

(摘自KDNET凯迪社区)

(END)

 

这种勒索病毒名为WannaCry(及其变种),攻击手段是利用了微软系统的一个漏洞,取名为“永恒之蓝”EternalBlue。

此次泄露的NSA武器中,同样包含着RDP远程桌面服务漏洞攻击工具EsteemAudit(尊重审查)。

http://club.kdnet.net/dispbbs.asp?boardid=1&id=12249344

 

(PacketStormSecurity是一个在国外比较著名的展示当下和历史的安全工具、安全开发和提供安全建议的网站)

 

 

 

 

 

本文由9159.com发布于操作系统,转载请注明出处:9159金沙官网MSRC表示会对披露的漏洞进行了彻底调

关键词:

上一篇:没有了
下一篇:没有了