在四月初,臭名昭著的黑客组织Shadow Brokers在互联网上发布了一批NSA隐藏的攻击性软件和黑客工具,旨在攻击市面上的众多软件产品。有别于过往四次发布,这次发布的工具貌似是有史以来数量最多且最具攻击性的,因为工具所攻击的漏洞,大多不为人知,而且覆盖了很多企业常用的产品,据称美国NSA利用其中一些漏洞去读取及监控银行之间的 SWIFT 系统交易。这次发布的漏洞影响甚大,全球各地 CISO 在过去几周,大多忙于确定自己系统有没有受到这些漏洞影响,以免黑客利用这些漏洞入侵。
好消息是大部分系统补丁已经推出。当然由于已经过了支持周期, Windows XP 及 Windows 2003 将不会获得任何补丁。如黑客能进入这些系统的网络,他们不费吹灰之力便可将这些系统攻陷。
这些被 Shadow Brokers 公布可被利用漏洞,有些补丁才刚推出不久,这意味着,许多企业的补丁管理程序还来不及反应,将补丁修补在重要系统上。当然,如果只是打好补丁并不意味着你的企业就完全安全。鉴于一些危害性的漏洞的广泛存在,IT 人士能够恰当的按优先级别去修补环境里被侵袭的系统就显得非常关键。
有一些情况下补丁永远不会被使用,或许是因为要保护重要系统的正常无间断运行,抑或是对自身网络情况的了解不够以及对漏洞造成的危害的无知。下面举一个具有历史性的例子。补丁MS08-67是2008年发现的一个致命的漏洞,也是存在于企业内部而被忽视多年的一个漏洞。这往往是渗透测试者试探您的网络时,第一个会留意的漏洞。MS08-67现在已经被MS17-10替代。虽然有相应的补丁发布出来,但是总会有电脑被 IT 人员忽视,而被渗透测试者或者黑客找出并用来攻击。
这就是为什么做一份系统资产清单对于企业或政府机关很重要。你不能保护你不知道的系统或设备,那么也就不可能去打补丁。
Tenable研发团队利用周末研究了被Shadow Brokers发布出来的文件。这里是一些要点概述:
微软已经給出了所有其支持的版本的相关漏洞补丁。
不支持的软件例如 IIS 5/6,Windows XP, Windows 2000/XP/Vista/2003, Exchange 2007都存在漏洞,所以都应尽快升级到微软所支持的版本。
停用 SMBv1,微软及美国 CERT 都一直建议使用者尽可能停用 SMBv1.
发布的其中一个工具经已可以与 Cobalt Strike, Metasploit, PoisonIvy, Empire 一起使用,而其它负载 (Payload) 经已被编译为 DLLs 作为 DLL 注入攻击。
Tenable 解決方案
Tenable已经在第一时间推出了SecurityCenter®仪表盘,该仪表盘可以显示被 Shadow Brokers 黑客群公布的漏洞及黑客程序影响的主机。SecurityCentre 的客户能透过更新自动获得最新的Shadow Broker 漏洞探测仪表板。此仪表盘同时可以显示网络内相关漏洞的修复进展情况。
Tenable研发团队持续研发插件可以解决这些漏洞的发现问题。持续不断的公布更多可用的漏洞插件。
2497
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
