NSA的Windows漏洞軍火庫泄漏：多個零日、利用工具可直接使用

Shadow Brokers（影子經紀人），過去八個月里出盡風頭、將NSA（美國國家安全局）以千兆計的網路攻擊武器泄漏到互聯網的黑客個體/團伙，剛剛又公布了NSA極其重要的數據。在周五（北京時間臨近下班）時候放出的這批數據，包括針對大多數版本Windows系統的強力漏洞利用和黑客工具、黑進全球SWIFT網路內多家銀行的代碼和證據等。

周五釋出的數據，接近300MB大小。Shadow Brokers稱數據偷自NSA，裡邊有可直接使用的多版本Windows系統漏洞利用工具，含Windows 8和2012；還有一個類似Metasploit的攻擊框架Fuzzbunch，用於執行具體的攻擊操作。

審查內容的安全專家表示，這是Shadow Brokers迄今為止公布數據中最具破壞性的漏洞軍火庫。

「任何下載的人都可以使用這批攻擊工具，尤其是其中一些還是零日漏洞，沒有補丁，可以直接遠程命令執行。」安全專家之一、Hacker House聯合創始人Matthew Hickey進一步解釋道。

Windows零日漏洞

Hickey發現，泄漏數據中的Windows零日漏洞之一Eternalblue，利用伺服器消息塊和NetBT協議之中的缺陷，可以在最新的Windows 2008 R2系統上遠程命令執行；而另一個被稱作Eternalromance的黑客工具，有易操作的界面和完美的代碼，它直接利用TCP協議的139、445埠進行攻擊，漏洞成因未知。此次數據中以「eternal」（永恆）開頭命名的工具，均利用了Windows桌面和伺服器系統的未知漏洞。

Hickey目前記錄的工具列表如下：

ETERNALROMANCE?—?Remote privilege escalation (SYSTEM) exploit (Windows XP to Windows 2008 over TCP port 445)

ENTERNALCHAMPION, ETERNALSYSTEM?—?Remote exploit up to Windows 8 and 2012

ETERNALBLUE — Remote Exploit via SMB & NBT (Windows XP to Windows 2012)

EXPLODINGCAN?—?Remote IIS 6.0 exploit for Windows 2003

EWORKFRENZY?—?Lotus Domino 6.5.4 and 7.0.2 exploit

ETERNALSYNERGY?—?Windows 8 and Windows Server 2012

FUZZBUNCH?—?Exploit Framework (Similar to Metasploit) for the exploits.

黑進銀行

本次泄漏數據的另一部分，是可以黑掉銀行的攻擊代碼，特別針對中東地區的銀行。根據安全專家、Cloud Volumes聯合創始人Matt Suiche的分析，代號「Jeepflea_Market」的代碼曾經在2013年黑過中東地區最大SWIFT機構EastNets。EastNets負責監督當地SWIFT網路中的具體交易行為是否有反洗錢等行為。除了特定伺服器的詳實數據外，泄漏數據還包括專用工具，比如從Oracle資料庫提取資料庫用戶列表、SWIFT消息查詢數據的工具。

Suiche稱，這些工具可以讓NSA黑掉監督具體交易行為的SWIFT機構，以查找和恐怖分子相關的交易。「考慮到SWIFT機構數據本來就少（120），並且很容易黑掉（比如每家銀行一個IP），目前到底有多少個已經被黑掉了呢？」

Suiche還發現，有證據顯示巴勒斯坦地區的Al Quds發展與投資銀行曾經被特別關照過。

除了Windows零日漏洞、黑進銀行的攻擊代碼外，泄漏數據里還包括「Oddjob」軟體，這是一種通過HTTP傳輸控制來入侵電腦的植入工具和後門。

形勢愈加嚴峻

通過持續公布泄漏數據，Shadow Brokers牢牢吸引住美國和世界各地情報部門的關注。在過往幾次，他們還公布過可黑掉思科防火牆的零日漏洞。安全公司卡巴斯基的研究人員證實，他們分析過泄漏數據具有方程式組織的獨有簽名。方程式組織被認為是由NSA贊助的黑客團隊，在進行著最先進的黑客行動。今年1月，Shadow Brokers在一次煽動性言論後宣布暫停運轉，周五這次披露暗示著他們顯然還有更多秘密數據。

Shadow Brokers出現後，NSA在內部嚴查，至少逮捕了一家被指控偷走NSA黑客工具的供應商。但到現在為止，還沒有證據可以將被逮捕人員和Shadow Brokers聯繫起來。再次披露使形勢變得更加嚴峻，無疑打亂許多政府部門和下屬承包商的假日計劃。

附本次公布泄漏數據地址：https://github.com/misterch0c/shadowbroker

微軟稱這些漏洞早已修復

事件一出，微軟方面立即給出了回應，成這次泄露的有關微軟的漏洞大多已經修復，只有三個未發現的漏洞還沒有修復。並且，今天微軟已經緊急推出了新版本的系統，也已經向每位windows系統的用戶發送了更新通知。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！