根据国内外各大安全机构报道,Shadow Broker 4月14日晚再次泄露了一批Windows远程漏洞利用工具,这些漏洞约影响全球70%的Windows服务器,可能会对校园网安全带来一定威胁。此次公布的攻击代码包括windows文件共享服务漏洞(TCP 139,445端口),远程桌面服务(TCP 3389端口)漏洞及早期版本的IIS6服务漏洞。其中影响最为严重的是3个windows系统的文件共享漏洞,几乎影响到windows的全线版本。

微软随后发布公告宣称,相关漏洞在2017年3月份的例行安全公告中已经进行了修补,用户只需及时安装补丁程序即可。但是由于微软已经停止对win7以下的操作系统版本提供支持,因此如winxp、windows 8及windows 2003server之类的操作系统虽然也受漏洞影响,却没有相应的补丁程序可用。

考虑到这些漏洞带来的风险,我们建议执行以下操作:

主机防范手段:

及时更新系统的补丁程序到最新,对于已经停止更新的操作系统版本原则上建议尽快升级操作系统版本,如果暂时无法升级版本,建议使用防火墙关闭外部对系统相关端口的访问权限。

网络控制手段:

建议学校在边界出口处对TCP137、139、445端口进行临时封禁措施。

 

参考信息:

Shadow Brokers Release New Files Revealing Windows Exploits, SWIFT Attacks. https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/