關于加強防範Windows操作系統和相關軟件漏洞攻擊風險的情況公告

北京時間4月14日晚間，Shadow Brokers（影子經(jīng)紀人）組織在互聯網上發(fā)布了此前獲得的部分方程式黑客組織（Equation Group）的文件信息,包含針對(duì)Windows操作系統以及其他服務器系統軟件的多個高危漏洞利用工具。由于其發(fā)布的攻擊工具集成(chéng)化程度高、部分攻擊利用方式較爲高效，有可能(néng)引發(fā)互聯網上針對(duì)服務器主機的大規模攻擊。

事(shì)件情況簡要分析
Shadow Brokers發(fā)布了黑客使用的大量針對(duì)Windows操作系統、銀行專用系統以及其他廣泛應用的服務器軟件産品的工程化工具，涉及的産品包括：Windows操作系統及其IIS和SMTP客戶端服務組件、IBM Lotus辦公服務組件、MDaemon郵件系統、IMAIL郵件系統等，其中威脅較大的漏洞利用工具如下：

此外， Shadow Brokers發(fā)布的數據還(hái)包括一些演示文稿和excel表格，方程式攻擊了中東一些使用了 SWIFT結算系統的銀行信息系統。CNVD對(duì)上述已知的或未收錄漏洞的綜合評級均爲“高危”。

應急處置建議
根據微軟官方發(fā)布的聲明稱，上述表項中涉及的大部分漏洞已在微軟支持的産品中修複，微軟官方公告的解決方案對(duì)應表如下表所示。由于微軟已經(jīng)停止對(duì)Windows XP和Windows Server 2003的安全更新，因此對(duì)于XP和2003用戶以及其他未打補丁的用戶直接構成(chéng)攻擊威脅。

截止4月16日要本公告發(fā)布時，其他涉及的郵件系統廠商和辦公系統軟件廠商還(hái)未對(duì)發(fā)布的漏洞攻擊情況進(jìn)行回應。考慮到近期有可能(néng)出現的攻擊威脅，阿旺互聯建議相關單位和個人用戶做好(hǎo)以下措施：
1、關閉135、137、139、445、3389等端口的外部網絡訪問權限，在服務器上關閉不必要的上述服務端口；
2、加強對(duì)135、137、139、445、3389等端口的内部網絡區域訪問審計，及時發(fā)現非授權行爲或潛在的攻擊行爲；
3、做好(hǎo)本單位Window XP和Windows server 2003主機的排查，使用替代操作系統；
4、IMAIL、IBMLotus、MDaemon等軟件産品用戶需要及時關注廠商安全更新，及時修複。