微軟又爆新洞，一大早就看到文章

一大早起床是不是覺(jué)得陽(yáng)光明媚歲月靜好？然而網(wǎng)絡(luò)空間剛剛誕生了一波核彈級(jí)爆炸！Shadow Brokers再次泄露出一份震驚世界的機(jī)密文檔，其中包含了多個(gè)精美的 Windows 遠(yuǎn)程漏洞利用工具，可以覆蓋全球 70% 的 Windows 服務(wù)器，一夜之間所有Windows服務(wù)器幾乎全線暴露在危險(xiǎn)之中，任何人都可以直接下載并遠(yuǎn)程攻擊利用，考慮到國(guó)內(nèi)不少高校、政府、國(guó)企甚至還有一些互聯(lián)網(wǎng)公司還在使用 Windows 服務(wù)器，這次事件影響力堪稱(chēng)網(wǎng)絡(luò)大地震。

目前已知受影響的 Windows 版本包括但不限于：Windows NT，Windows 2000（沒(méi)錯(cuò)，古董也支持）、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

故事還要從一年前說(shuō)起，2016 年 8 月有一個(gè) “Shadow Brokers” 的黑客組織號(hào)稱(chēng)入侵了方程式組織竊取了大量機(jī)密文件，并將部分文件公開(kāi)到了互聯(lián)網(wǎng)上，方程式（Equation Group）據(jù)稱(chēng)是 NSA（美國(guó)國(guó)家安全局）下屬的黑客組織，有著極高的技術(shù)手段。這部分被公開(kāi)的文件包括不少隱蔽的地下的黑客工具。另外 “Shadow Brokers” 還保留了部分文件，打算以公開(kāi)拍賣(mài)的形式出售給出價(jià)最高的競(jìng)價(jià)者，“Shadow Brokers” 預(yù)期的價(jià)格是 100 萬(wàn)比特幣（價(jià)值接近5億美金）。這一切聽(tīng)起來(lái)難以置信，以至于當(dāng)時(shí)有不少安全專(zhuān)家對(duì)此事件保持懷疑態(tài)度，“Shadow Brokers” 的拍賣(mài)也因此一直沒(méi)有成功

北京時(shí)間 2017 年 4 月 14 日晚，“Shadow Brokers” 終于忍不住了，在推特上放出了他們當(dāng)時(shí)保留的部分文件，解壓密碼是 “Reeeeeeeeeeeeeee”。

這次的文件有三個(gè)目錄，分別為“Windows”、“Swift” 和 “OddJob”，包含一堆令人震撼的黑客工具（我們挑幾個(gè)重要的列舉如下）：

EXPLODINGCAN 是 IIS 6.0 遠(yuǎn)程漏洞利用工具

ETERNALROMANCE 是 SMB1 的重量級(jí)利用，可以攻擊開(kāi)放了 445 端口的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 并提升至系統(tǒng)權(quán)限。

除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程序，可以攻擊開(kāi)放了 445 端口的 Windows 機(jī)器。

ESTEEMAUDIT 是 RDP 服務(wù)的遠(yuǎn)程漏洞利用工具，可以攻擊開(kāi)放了3389 端口且開(kāi)啟了智能卡登陸的 Windows XP 和 Windows 2003 機(jī)器。

FUZZBUNCH 是一個(gè)類(lèi)似 MetaSploit 的漏洞利用平臺(tái)。

ODDJOB 是無(wú)法被殺毒軟件檢測(cè)的 Rootkit 利用工具。

ECLIPSEDWING 是 Windows 服務(wù)器的遠(yuǎn)程漏洞利用工具。

ESKIMOROLL 是 Kerberos 的漏洞利用攻擊，可以攻擊 Windows 2000/2003/2008/2008 R2 的域控制器。

不放不要緊，放出來(lái)嚇壞了一眾小伙伴。這些文件包含多個(gè) Windows 神洞的利用工具，只要 Windows 服務(wù)器開(kāi)了135、445、3389 其中的端口之一，有很大概率可以直接被攻擊，這相比于當(dāng)年的 MS08-067 漏洞有過(guò)之而無(wú)不及啊，如此神洞已經(jīng)好久沒(méi)有再江湖上出現(xiàn)過(guò)了。? ? ? ? ? ? ? 掏出 Exp 試了一波，果然是一打一個(gè)準(zhǔn)，這些工具的截圖如下：

除 Windows 以外，“Shadow Brokers” 泄露的數(shù)據(jù)還顯示方程式攻擊了中東一些使用了 Swift 銀行結(jié)算系統(tǒng)的銀行。

所有 Windows 服務(wù)器、個(gè)人電腦，包括 XP/2003/Win7/Win8，Win 10 最好也不要漏過(guò)，全部使用防火墻過(guò)濾/關(guān)閉 137、139、445端口；對(duì)于 3389 遠(yuǎn)程登錄，如果不想關(guān)閉的話(huà)，至少要關(guān)閉智能卡登錄功能。

剩下的就是請(qǐng)穩(wěn)定好情緒，坐等微軟出補(bǔ)丁。

工具下載地址：

https://pan.baidu.com/s/1eR6rxuy?密碼:?5jtk