CERNET之窗 |Shadow Brokers公布攻击程序 Windows系统受影响
4月中旬,影子代理人Shadow Brokers又在互联网上公布了一批攻击代码(就是他们曾要价5亿美元,宣称从美国中情局下方程式组织偷来的攻击程序包中的一小部分)。
此次公布的代码程序共12个,涉及多个Windows系统漏洞,包括Windows文件共享服务漏洞(TCP139,445端口),远程桌面服务(TCP3389端口)漏洞及早期版本的IIS6服务漏洞。其中影响最为严重的是3个Windows系统的文件共享漏洞,几乎影响到Windows的全线版本。
虽然微软随后宣称,这些漏洞在2017年3月的例行安全公告中已经进行了修补,用户只需及时安装补丁程序即可,但是由于微软已经停止对Win7以下的操作系统版本提供支持,因此,如Winxp、Windows Vista及Windows 2003 Server等受漏洞影响的操作系统,没有相应的补丁程序可用。
我们对于依然在使用老版本操作系统的用户,最好的建议就是尽快更换操作系统版本,如果由于特殊原因不能及时更换,就需要采用一些临时的防范措施来防范风险,如使用防火墙阻挡所有来自外部的连接请求。
本次攻击代码中涉及的其他安全漏洞影响的范围相对较小,如远程桌面的漏洞只影响Windows 2003 Server,并且需要该服务开启了智能卡验证选项,而智能卡验证选项是一种双因子认证模式,通常只用在安全性要求比较高的场合,需要这种安全级别的场合一般情况下,应该很早就不再使用2003这种停止技术支持的系统版本了。
4月教育行业的漏洞报告平台(https://src.edu-info.edu.cn/)开始启用,与高校网站系统有关的安全事件数量呈上升趋势。近期没有新增影响比较严重的木马蠕虫病毒。
4月需要关注的漏洞有如下这些:
1、微软4月的安全更新修补了其产品线中的174个漏洞,其中Windows 10(68个)、Windows 10/Server 2016(24个)、Windows 8.1/Server 2012 R2(24个)、Windows Server 2012(18个)、Windows 7/Server 2008 R2(15个)、Windows Vista/Server 2008(11个)、Internet Explorer(3个)、Microsoft Edge(5个)、Microsoft Office(6个)。
从4月起微软正式修改了其产品的补丁更新策略,每个月的更新将会以单个补丁程序的模式出现。也就是这一个补丁将修补当月出现的所有安全漏洞,而不是像之前那样为每个漏洞发布一个补丁程序。这种改变简化了正版用户的安全更新操作,但也意味着用户没有选择单独安装某一个补丁的权利了,这对那些使用盗版软件或系统的用户来说是致命的,因为他们只能在使用正版和不安装补丁更新之中选择其一。
修改了更新策略后微软将不会再发布例行的安全公告,取而代之的是安全更新指南,更新指南将不会向用户详细披露被修补的漏洞细节,只会告诉用户本次更新涉及的产品。4月的更新信息请参见:https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/42b8fa28-9d09-e711-80d9-000d3a32fc99。
2、BIND9软件中存在多个拒绝服务攻击漏洞,用户向DNS服务器发送特制的请求时可能导致BIND服务发生断言错误,从而退出进程造成拒绝服务攻击。
ISC已经在最新的版本的DIND9中修补了这些漏洞。DNS的管理员应该尽快升级自己的BIND版本,最新的版本包括:BIND9.9.9-P8、BIND9.10.4-P8、BIND9.11.0-P5、BIND9.9.9-S10。
3、PHPCMS采用PHP5+MYSQL做为技术基础进行开发,是一款网站建站系统,高校网站中有不少是使用这个系统搭建的。
PHPCMS9.6版本中存在多个安全漏洞,已知的包括任意文件上传漏洞及SQL注入漏洞,可能还有其他未被公布的漏洞。建议使用PHPCMS系统的管理员及时关注相关厂商的更新动态,在没有更新补丁之前建议使用WAF防火墙对网站进行防护。
4、Oracle发布了2017年4月的安全更新,修复了其多款产品存在的299个安全漏洞,其中高危漏洞181个,可远程利用的251个。受影响的产品包括Oracle数据库(2个)、Oracle Secure Backup数据库安全备份(1个)、中间件产品Fusion Middleware(31个);企业管理器网格控制产品Oracle Enterprise Manager Grid Control(2个)、电子商务套装软件Oracle E-Business Suite(11个)、供应链套装软件OracleSupply Chain Products Suite(1个)、Oracle Siebel托管型CRM软件(1个);People Soft产品(16个)、JDEdwards产品(1个)、Primavera产品(7个)、BerkeleyDB(14个);Communications Applications(11个)、FinancialServices Applications(47个)、HealthSciences Applications(1个)、Hospitality Applications(6个)、Insurance Applications(1个)、Retail Applications(39个)、Utilities Applications(7个)、Virtualization(15个)、Commerce(3个)、Hyperion(1个)、SupportTools(13个)、JavaSE(8个)、OracleSun系统产品(21个)和MySQL数据库(39个)。漏洞的详细信息请参见:http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html。
安全提示
这次ShadowBrokers公布攻击程序显示,从2011(程序编译时间)年至2017年3月之间,Windows的文件共享服务一直处于可被远程入侵的状态,这期间有多少系统被入侵已经无从考证。
Windows的文件共享服务多数情况是服务于局域网内部的,跨网段使用该系列服务的机会并不多,因此建议管理员可以在网络边界对相关服务的端口(TCP139和445端口)进行封禁,以降低相关服务给系统带来的风险。
对于Windows远程桌面这类必须远程使用的服务,我们建议可以通过限制地址来源及改变服务默认端口的方式来降低风险。
作者单位为中国教育和科研计算机网应急响应组
本文刊载自《中国教育网络》杂志2017年5月刊