[[197910]]

近日有研究人員將影子經(jīng)紀(jì)人(Shadow Brokers)泄漏的NSA漏洞攻擊包中名為Eternal Synergy(永恒協(xié)作，CVE-2017-0143)的漏洞改寫(xiě)成新版本，即可入侵Windows 8及之后的版本，包括Windows Server 2016。

2017年5月以來(lái)肆虐全球的Eternal系列漏洞又有新的變種。

此前，5月份的WannaCry、6月份的NotPetya勒索病毒主要利用Eternal Blue(永恒之藍(lán))進(jìn)行傳播，該漏洞主要感染的操作系統(tǒng)是Windows 7。

近日有研究人員將影子經(jīng)紀(jì)人(Shadow Brokers)泄漏的NSA漏洞攻擊包中名為Eternal Synergy(永恒協(xié)作，CVE-2017-0143)的漏洞改寫(xiě)成新版本，即可入侵Windows 8及之后的版本，包括Windows Server 2016。

受影響的Windows版本

根據(jù)新版Eternal Synergy的PoC來(lái)看，要攻擊成功需要滿足幾個(gè)條件：

1、獲得Windows主機(jī)IP

2、獲得named pipe

3、獲得一個(gè)低權(quán)限的用戶名和密碼，比如Guest用戶(默認(rèn)無(wú)密碼)

主機(jī)IP和named pipe可以通過(guò)工具掃描獲得，PoC也會(huì)嘗試連接browser、spoolss、samr等幾個(gè)缺省的named pipe。

低權(quán)限的用戶名密碼相對(duì)較難獲得，這也使得該漏洞的利用場(chǎng)景會(huì)更加復(fù)雜，但是也有很多機(jī)器會(huì)把Guest用戶開(kāi)啟。

以下是PoC的實(shí)際測(cè)試結(jié)果，可以看到通過(guò)該漏洞很輕易就可以攻擊目標(biāo)主機(jī)(Windows Server 2016 x64)，提權(quán)到System權(quán)限，在C盤(pán)下創(chuàng)建一個(gè)文件：

防護(hù)策略建議：

1. 使用HanSight Enterprise監(jiān)控網(wǎng)絡(luò)流量和主機(jī)行為，及時(shí)對(duì)警告排查處理;

2. 更新Windows操作系統(tǒng)補(bǔ)丁;

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx ;

3. 不要開(kāi)啟Guest用戶;

4. 啟用Windows防火墻，關(guān)閉139、445等相關(guān)端口。