近日,有報(bào)道稱(chēng)美國(guó)國(guó)家安全局(NSA)旗下的“方程式黑客組織”使用的部分網(wǎng)絡(luò)武器被公開(kāi),其中包括可以遠(yuǎn)程攻破全球約70%Windows機(jī)器的漏洞利用工具。
其中,有十款工具最容易影響Windows個(gè)人用戶(hù),包括永恒之藍(lán)、永恒王者、永恒浪漫、永恒協(xié)作、翡翠纖維、古怪地鼠、愛(ài)斯基摩卷、文雅學(xué)者、日食之翼和尊重審查。不法分子無(wú)需任何操作,只要聯(lián)網(wǎng)就可以入侵電腦,就像沖擊波、震蕩波等著名蠕蟲(chóng)一樣可以瞬間血洗互聯(lián)網(wǎng)。
情況緊迫,國(guó)內(nèi)安全廠(chǎng)商也快速行動(dòng)起來(lái)了。4月19日深夜,360安全衛(wèi)士官方微博宣布推出“NSA武器庫(kù)免疫工具”,可以一鍵檢測(cè)修補(bǔ)漏洞;對(duì)于沒(méi)有補(bǔ)丁的系統(tǒng)版本,也可以關(guān)閉NSA黑客武器攻擊的高危服務(wù),能夠全面抵擋NSA武器庫(kù)的攻擊。
知己知彼,百戰(zhàn)不殆。下面就跟著小編一起看看這些NSA武器庫(kù)中那些對(duì)Windows個(gè)人用戶(hù)影響最大武器吧。
SMB漏洞攻擊工具
SMB是一個(gè)網(wǎng)絡(luò)文件共享協(xié)議,它允許應(yīng)用程序和終端用戶(hù)從遠(yuǎn)端的文件服務(wù)器訪(fǎng)問(wèn)文件資源,用于在計(jì)算機(jī)之間共享文件、打印機(jī)、串口和郵槽等。
此次泄露的NSA武器庫(kù)中,包含了EternalBlue(永恒之藍(lán))、EternalChampion(永恒王者)、EternalRomance(永恒浪漫)、EternalSynergy(永恒協(xié)作)、 EmeraldThread(翡翠纖維)、ErraticGopher(古怪地鼠)、EducatedScholar(文雅學(xué)者)等SMB漏洞攻擊工具。
NSA武器攻擊的SMB漏洞都已經(jīng)被微軟補(bǔ)丁修復(fù),在支持期的系統(tǒng)打全補(bǔ)丁就可以了。但是像XP、2003這些微軟已經(jīng)不支持的系統(tǒng),還是需要使用360的“NSA武器庫(kù)免疫工具”把高危服務(wù)關(guān)掉,就可以避免被遠(yuǎn)程攻擊了。
RDP 漏洞攻擊工具
RDP遠(yuǎn)程桌面服務(wù)是遠(yuǎn)程顯示協(xié)議。用戶(hù)可以通過(guò)它映像遠(yuǎn)程操控會(huì)話(huà)指導(dǎo)其他用戶(hù)使用軟件和系統(tǒng),也可以用來(lái)監(jiān)視客戶(hù)機(jī)運(yùn)行情況。Windows用戶(hù)只要開(kāi)啟3389遠(yuǎn)程登陸端口便可以通過(guò)RDP 遠(yuǎn)程桌面服務(wù)對(duì)實(shí)現(xiàn)這一功能。
此次泄露的NSA武器中,同樣包含著RDP遠(yuǎn)程桌面服務(wù)漏洞攻擊工具EsteemAudit(尊重審查)。
EsteemAudit是支持Windows XP和Windows 2003的RDP漏洞遠(yuǎn)程攻擊工具。黑客們利用它可以實(shí)現(xiàn)對(duì)中招電腦的遠(yuǎn)程操控,包括監(jiān)視中招電腦的使用行為。凡是開(kāi)放了3389遠(yuǎn)程登陸端口的 Windows 機(jī)器,都有可能受到攻擊。
由于EsteemAudit影響的系統(tǒng)已經(jīng)失去微軟的支持,沒(méi)有補(bǔ)丁修復(fù)漏洞。Windows用戶(hù)需要關(guān)閉3389遠(yuǎn)程桌面,如果是服務(wù)器系統(tǒng)一定要開(kāi)啟3389端口,至少也要關(guān)閉智能卡登錄功能,并在防火墻上嚴(yán)格限制來(lái)源IP。個(gè)人用戶(hù)可以使用“NSA武器庫(kù)免疫工具”進(jìn)行防御。
Kerberos(三頭狗)域控漏洞利用工具
Kerberos 是Windows活動(dòng)目錄中使用的客戶(hù)/服務(wù)器認(rèn)證協(xié)議,為通信雙方提供雙向身份認(rèn)證。Kerberos通過(guò)身份驗(yàn)證服務(wù)和票據(jù)授予服務(wù)對(duì)電腦數(shù)據(jù)進(jìn)行管理,實(shí)現(xiàn)Windows用戶(hù)同服務(wù)器的數(shù)據(jù)交換。
圖:Kerberos安全認(rèn)證原理
NSA武器庫(kù)中的EskimoRoll(愛(ài)斯基摩卷) 就是Kerberos 的漏洞利用工具,它可以攻擊 Windows 2000/2003/2008/2008 R2 的域控制器。Windows用戶(hù)可以從微軟官網(wǎng)下載補(bǔ)丁MS14-068修復(fù)該漏洞,也可使用360安全衛(wèi)士等第三方軟件掃描修復(fù)漏洞。