Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

駭客 Shadow Brokers 弱點 您的防禦準備好了嗎?

在四月初,駭客組織 Shadow Brokers 在網際網路上公佈了大量攻擊工具,有別於過往四次發佈,這次發佈的工具是被認為最危險的,因為發佈工具的數量是歷年來最多,而且針對了不同廠牌的產品。更甚的是,工具所攻擊的的弱點,大多不為人知,而且覆蓋了很多企業常用的產品,據稱美國更利用其中一些弱點去讀取及監控銀行之間的 SWIFT 系統交易。這次發佈影響甚大,全球各地 CISO 在過去一周,一定忙於為確定系統没有存在這些弱點,以免駭客利用這些弱點入侵。

好消息是,大部分系統更新已經發佈,當然,有些系統已經過了支援期限,如 Windows XP 及 Windows 2003 將不會獲得任何更新。如駭客能進入仍有這些老舊系統的網路,他們不費吹灰之力便可將這些系統攻陷。

Exploit Plugin Title/Comments Plugin ID

EternalBlue

EternalChampion

EternalSynergy

EternalRomance

MS17-010: Security Update for Microsoft Windows SMB Server (4013389)

97737

EmeraldThread

MS10-061: Vulnerability in Print Spooler Service Could Allow Remote Code Execution (2347290)

49219

EsikmoRoll

MS14-068: Vulnerability in Kerberos Could Allow Elevation of Privilege (3011780)

79311

EducatedScholar

MS09-050: Microsoft Windows SMB2 _Smb2ValidateProviderCallback() Vulnerability (975497)

MS09-050: Vulnerabilities in SMBv2 Could Allow Remote Code Execution (975517)

40887

42106

EclipsedWing

MS08-067: Microsoft Windows Server Service Crafted RPC Request Handling Remote Code Execution (958644)

MS08-067: Microsoft Windows Server Service Crafted RPC Request Handling Unspecified Remote Code Execution (958644)

34477

34476

EsteemAudit

Microsoft Windows XP Unsupported Installation Detection

Microsoft Windows Server 2003 Unsupported Installation Detection

73182

84729

ExplodingCan

Microsoft IIS 6.0 Unsupported Version Detection

97993

EMPHASISMINE

Lotus Domino Unsupported Product

97994

EnglishmanDentist

Microsoft Exchange Server Unsupported Version Detection

22313

DOUBLEPULSAR

SMB Server DOUBLEPULSAR Backdoor / Implant Detection

99439

這些被 Shadow Brokers 公佈可被利用的弱點,更新才剛推出不久,這意味著,許多企業的軟體管理程序還來不及反應,將更新安裝在重要的系統上。當然,如果只是安裝好更新,並不意味這你的企業就足夠完全。鑒於一些危害性的弱點的廣泛存在,IT 人士能夠適當的按照優先級別去修補環境裡被侵襲的系統就顯得非常關鍵。

有一些情況下系統永遠不會更新,或許是因為要維持重要系統正常運作,或是對自身網絡情況的了解不深,以及對這些盲點能造成的危害一無所知。下面舉一個十分經典的例子。MS08-67是2008年發現的一個致命的弱點,也是常常存在於企業內部而往往被忽視的一個弱點。這個存在多年的弱點,是滲透測試員要攻破您的網路時,第一個會留意的弱點。MS08-67現在已經被MS17-10替代。雖然有相應的更新,但總有至少一台主機會被 IT 人員遺忘,郤被滲透測試員或者駭客找出並用來攻擊。

這正是為何我們需要擁有一份準確的系統資產清單,無論你是商業機構或政府機關,若你不能保護你所不知的資產,你也不能對它們安裝更新。

Tenable 研發團隊利用週末研究了被Shadow Brokers發布出來的文件。這裡是一些要點概述。

微軟己經為全部仍支援的 Windows 推出更新,沒有支援的系統及軟體版本,例如 IIS 5/6,Windows XP, Windows 2000/XP/Vista/2003, Exchange 2007 都存在這個弱點,則需馬上升級至支援的版本。同時停用 SMBv1.微軟及美國的 CERT 都一直建議使用者盡可能停用 SMBv1.

目前發佈的其中一個工具已經可以與 Cobalt Strike, Metasploit, PoisonIvy, Empire 一起使用,而其他Payload已經被編譯為 DLLs 作為 DLL 注入攻擊。

Tenable 解決方案

Shadow Brokers VUlnerability Detection dashboard

我們已經推出了SecurityCenter®儀表板,該儀表板可以顯示被 Shadow Brokers 駭客群公布的弱點及被駭客程序影響的主機。SecurityCentre 的客戶會透過更新自動獲得 Shadow Broker 弱點探測儀表板。它同時可以顯示您網絡內相關弱點的修復進度。

Tenable 研發團隊已發布針對這些弱點的新的plugins;我們會持續地公布更多可用的plugins。