微軟回應：用戶可升級系統補丁防範NSA泄露漏洞攻擊

E安全4月15日訊
日前,據稱是美國國家安全局(NSA)旗下的「方程式黑客組織」使用的部分網路武器被公開。Shadow
Brokers在steemit.com博客上提供了相關消息，被公開的工具包大小為117.9MB，包含23個黑客工具，,其中包括可以遠程攻破全球約70%Windows機器的漏洞利用工具。Windows目錄下包含了各種漏洞利用工具，在exploits中包含了豐富的漏洞利用工具，可影響Windows多個平台。

以下是微軟安全響應中心對此次NSA黑客工具泄露事件的回應內容：

保護客戶及評估風險

今天（2017年4月14日），Shadow

Brokers公開披露了與微軟產品相關的大量安全漏洞。據了解，客戶對此次披露的安全漏洞以及由此引發的潛在風險表示擔憂。我們的工程師已經對此次公開的漏洞進行調查，且其中大部分漏洞已經得到修復。以下為我們調查工作的最新進展。

在接到來自內部或者外部且指向微軟產品的安全漏洞報告時，微軟安全響應中心（簡稱MSRC）會立即對其進行徹底調查。我們致力於迅速驗證披露信息，並確保可能導致客戶身陷風險的確切、未解決漏洞得到快速修復。在完成驗證之後，工程技術團隊將儘快確定報告問題，考量一切可能受到影響之產品或服務及其各對應版本，同時評估客戶面臨之潛在風險以及遭遇相關攻擊的可能性。

大多數經披露公開的漏洞為我們所支持產品當中已經得到修復的安全缺陷。以下為為此次已被解決之相關漏洞的更新列表。我們鼓勵客戶儘快對相關產品進行升級。

剩餘的三個漏洞，即「EnglishmanDentist」、「EsteemAudit」以及「ExplodingCan」，皆未能在受支持平台上得到復現，這意味著運行有Windows 7系統以及更新版本之Windows以及使用Exchange 2010以及更新版本的用戶並不會遭遇任何風險。我們鼓勵仍在使用上述產品更早版本的客戶儘快升級至受支持產品。

長期以來，我們一直支持協調安全漏洞披露制度，並將其作為最為有效的手段以保證客戶及計算生態系統受到嚴格保護。這一協調方案使我們能夠充分了解安全問題並在客戶因攻擊方法遭到公開披露而身陷風險之前將其解決。我們還與全球各安全研究人員開展密切合作，允許安全研究人員通過secure@microsoft.com向微軟方面報告問題。另外，我們還設置多項Bug賞金計劃，鼓勵從業者以負責任的方式披露安全問題並獲取相關獎勵。

Phillip Misner

首席安全團隊經理

微軟安全響應中心

E安全註：本文系E安全獨家報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。