NSA黑客工具再泄露 Windows服务器有被黑客控制风险

北京时间4月14日晚，一大批新的NSA相关网络攻击工具及文档被Shadow Brokers组织公布，其中包含了涉及多个Windows系统服务（SMB、RDP、IIS）的远程命令执行工具，个别漏洞还处于0day状态。目前这些漏洞利用工具完全处于立即可用的公开的状态，黑客极有可能直接利用来控制受影响的Windows服务器。这是继上周4月8号第一波放出EQGRP-Auction-Files 文件解密密码（bobao.360.cn/news/detail/4107.html ）之后，又一次的大规模公开的放出解密密码。

360安全监测与响应中心持续关注该事件进展，并第一时间为您更新该漏洞信息。

1、事件信息：第二波解密的黑客工具包内容包括odd.tar.xz.gpg, swift.tar.xz.gpg 和windows.tar.xz.gpg。

Windows: 包括 Windows利用工具, 植入式的恶意软件 和一些攻击代码。

Swift: 包括 银行攻击的一些内容。

Oddjob: 包括与Oddjob后门相关的doc。

相关研究人员称：Windows文件夹包含对Windows操作系统的许多黑客工具，但主要针对的是较旧版本的Windows（Windows XP中）和Server 2003。

一位名叫Hacker Fantastic在推特上称，其中的“ETERNALBLUE是一个0day RCE漏洞利用，影响最新和更新的Windows 2008 R2 SERVER VIA SMB和NBT！”

OddJob文件夹包含基于Windows的植入软件，并包括所指定的配置文件和有效载荷。虽然目前这种植入软件的细节很少，但OddJob适用于Windows Server 2003 Enterprise（甚至Windows XP Professional）。

2、风险等级:360安全监测与响应中心风险评级为：危急

3、影响范围：目前经过研究人员分析后，已知的受影响版本如下，其他版本正在紧急分析中：Windows NT、Windows 2000、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8、Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

4、解决方案：1）对于Windows 2003以上版本的操作系统，建议打上最新的补丁。2）对于Windows XP、Windows 2003这样的已经失去微软支持的系统，强烈建议用户马上检查服务器的配置，如果对外的SMB服务器是不必要的，请尽快关闭；对于RDP远程终端服务设置防火墙规则，只允许可信来源IP的访问；对于Windows 2003的IIS 6.0如之前的通告关闭WebDAV功能。