紧急预警 | 大量Windows 0-day漏洞泄漏，全球70%以上Windows服务器可被远程控制

北京时间 2017 年 4 月 14 日晚，黑客团体Shadow Brokers （影子经纪人）再次泄露了一份 117.9 MB 的 NSA 机密文档，内含 23 个最新黑客工具，其中包含了多个Windows远程漏洞利用工具。

文档中的多个工具利用的是Windows系统中常用的RDP、SMB等服务中的安全漏洞。这意味着只要 Windows服务器打开了135、445、3389 中的任意端口之一，远程攻击者就可以利用这些工具完全入侵受影响的系统。目前已知的受影响Windows版本包括但不限于：

• Windows NT
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows 7
• Windows 8
• Windows 2008
• Windows 2008 R2
• Windows Server 2012 SP0

据估计受影响Windows服务器版本可能占目前全球所有Windows服务器数量的70%以上。由于国内有很多高校、政府、国企甚至一些互联网公司仍在使用 Windows服务器，上述0-day漏洞一旦被大规模利用，很可能会造成非常严重的后果。

临时解决方案

• 在Windows系统上关闭135、137、445、3389端口，或使用防火墙阻断对上述端口的访问。根据最少化服务的安全原则，安恒信息建议您关闭所有非必需的服务端口。
• 如暂时无法关闭3389端口，至少要关闭智能卡登录功能。
• 根据微软MSRC的最新一份声明，微软之前已发布的补丁可以修复此次事件中所涉及的大部分漏洞。建议用户及时安装微软的补丁，将系统升级至最新版本。

请注意微软只会为仍在服务期内的版本发布补丁，对于较早的已不在服务期内的版本（Windows 7之前版本，Windows Server 2008之前版本和Exchange 2010之前版本），微软不会发布补丁。由于此次泄露的攻击工具有些可能会影响不在服务期内的版本，建议使用这些版本的用户将系统升级到服务期内的版本并及时安装可用的补丁。

目前安恒信息已经紧急启动重大0-day漏洞预警方案，相关团队正在深入研究漏洞性质及影响范围，后续会在第一时间为客户提供检测及防护解决方案。

- END -