2017.4.16 運維派補充：
運維派已根據微軟官網釋出針對Windows系統0day漏洞的處理建議：《Windows遠端命令執行0day漏洞的安全預警及其處理建議》

一大早起床是不是覺得陽光明媚歲月靜好？然而網路空間剛剛誕生了一波核彈級爆炸！Shadow Brokers再次洩露出一份震驚世界的機密文件，其中包含了多個精美的 Windows 遠端漏洞利用工具，可以覆蓋大量的 Windows 伺服器，一夜之間所有Windows伺服器幾乎全線暴露在危險之中，任何人都可以直接下載並遠端攻擊利用，考慮到國內不少高校、政府、國企甚至還有一些網際網路公司還在使用 Windows 伺服器，這次事件影響力堪稱網路大地震。

目前已知受影響的 Windows 版本包括但不限於：Windows NT，Windows 2000（沒錯，古董也支援）、Windows XP、Windows 2003、Windows Vista、Windows 7、Windows 8，Windows 2008、Windows 2008 R2、Windows Server 2012 SP0。

故事還要從一年前說起，2016 年 8 月有一個 “Shadow Brokers” 的黑客組織號稱入侵了方程式組織竊取了大量機密檔案，並將部分檔案公開到了網際網路上，方程式（Equation Group）據稱是 NSA（美國國家安全域性）下屬的黑客組織，有著極高的技術手段。這部分被公開的檔案包括不少隱蔽的地下的黑客工具。另外 “Shadow Brokers” 還保留了部分檔案，打算以公開拍賣的形式出售給出價最高的競價者，“Shadow Brokers” 預期的價格是 100 萬比特幣（價值接近5億美金）。這一切聽起來難以置信，以至於當時有不少安全專家對此事件保持懷疑態度，“Shadow Brokers” 的拍賣也因此一直沒有成功。

北京時間 2017 年 4 月 14 日晚，“Shadow Brokers” 終於忍不住了，在推特上放出了他們當時保留的部分檔案，解壓密碼是 “Reeeeeeeeeeeeeee”。

這次的檔案有三個目錄，分別為“Windows”、“Swift” 和 “OddJob”，包含一堆令人震撼的黑客工具（我們挑幾個重要的列舉如下）：

• EXPLODINGCAN 是 IIS 6.0 遠端漏洞利用工具
• ETERNALROMANCE 是 SMB1 的重量級利用，可以攻擊開放了 445 埠的 Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 並提升至系統許可權。
• 除此之外 ERRATICGOPHER 、ETERNALBLUE 、ETERNALSYNERGY 、ETERNALCHAMPION 、EDUCATEDSCHOLAR、 EMERALDTHREAD 等都是 SMB 漏洞利用程式，可以攻擊開放了 445 埠的 Windows 機器。
• ESTEEMAUDIT 是 RDP 服務的遠端漏洞利用工具，可以攻擊開放了3389 埠且開啟了智慧卡登陸的 Windows XP 和 Windows 2003 機器。
• FUZZBUNCH 是一個類似 MetaSploit 的漏洞利用平臺。
• ODDJOB 是無法被防毒軟體檢測的 Rootkit 利用工具。
• ECLIPSEDWING 是 Windows 伺服器的遠端漏洞利用工具。
• ESKIMOROLL 是 Kerberos 的漏洞利用攻擊，可以攻擊 Windows 2000/2003/2008/2008 R2 的域控制器。

不放不要緊，放出來嚇壞了一眾小夥伴。這些檔案包含多個 Windows 神洞的利用工具，只要 Windows 伺服器開了135、445、3389 其中的埠之一，有很大概率可以直接被攻擊，這相比於當年的 MS08-067 漏洞有過之而無不及啊，如此神洞已經好久沒有再江湖上出現過了。

掏出 Exp 試了一波，果然是一打一個準，這些工具的截圖如下：

除 Windows 以外，“Shadow Brokers” 洩露的資料還顯示方程式攻擊了中東一些使用了 Swift 銀行結算系統的銀行。

緩解措施

所有 Windows 伺服器、個人電腦，包括 XP/2003/Win7/Win8，Win 10 最好也不要漏過，全部使用防火牆過濾/關閉 137、139、445埠；對於 3389 遠端登入，如果不想關閉的話，至少要關閉智慧卡登入功能。

剩下的就是請穩定好情緒，坐等微軟出補丁。

2017.4.16 運維派補充：
運維派已根據微軟官網釋出針對Windows系統0day漏洞的處理建議：《Windows遠端命令執行0day漏洞的安全預警及其處理建議》