未卜先知還是巧合？影子掮客才公佈鎖定Windows的NSA攻擊工具，但微軟已修補好了

（Shadow Broker）上周五公佈號稱是出自美國國安局（NSA）包括全球銀行匯款系統SWIFT及針對Windows的攻擊工具文件。不過就在隔天微軟表示已經修補好可能被攻擊的漏洞，甚至還有三月就修好的。
 
影子掮客今年1月宣佈「退隱」不到3個月後，本月初才以不滿美國總統川普為由，公佈NSA旗下「方程式」（Equation）的攻擊工具「復出」。上周的公佈文件將近300MB。針對SWIFT的攻擊工具則瞄準拉丁美州及中東的反洗錢服務部門，名為EastNet。
 
在Windows平台的攻擊程式影響多個Windows桌面及伺服器版本軟體，其中名為eternalromance為攻擊Windows XP、2003、Windows 7、8的SMB1攻擊程式、EXPLODINGCAN則在IIS 6.0建立遠端後門，Oddjob可在Windows 2000以後的作業系統中注入植入惡意程式或C&C伺服器。
 
由於針對微軟系統的攻擊程式種類多元，此次爆料原本將影響眾多用戶。但微軟在隔日即發表公告，表示其中多項攻擊程式，已經由微軟釋出的安全更新，如MS08-067、MS09-050、MS10-061、MS14-068、MS17-010、CVE2017-0146、CVE2017-0147解決。奇妙的是，其中MS17-010更是在3月的每月更新中即已修補好。另外，EnglishmanDentist、EsteemAudit及ExplodingC三項攻擊程式，則已無法跑在微軟支援的平台上，包括Windows 7及Exchange Server 2010及以後版本（即除了已經不再支援的Windows XP、Windows Server 2003、Exchange 2007及IIS 6.0外）。
 
至於微軟何以這次動作會這麼快，有安全專家認為有幾種可能。首先，這些攻擊程式早由某個NSA人員提早通知微軟，二是微軟已經支付影子掮客，以確保這些漏洞沒有公諸於世，今年2月微軟的周二安全更新史無前例地取消，可能是為了趕忙修補上述漏洞的緣故。第三種原因則是就是純屬巧合，影子掮客發佈剛好搭上微軟修補時間。
 
至於SWIFT，影子掮客公佈了兩部份檔案，JEEPFLEA_MARKET，及JEEPFLEA_POWDER，包括EastNodes的內部系統架構，及取自該平台Oracle Database中的客戶登入驗證資料。當中可以清楚看到如杜拜、巴林、巴力斯坦及科威特等數家金融機構或主管機關的名稱。安全專家Matt Suiche指出其中前者是該駭客組織首度明白公佈NSA攻擊對象的資料，因此可信度頗高。他表示，這些機構使用的是Window Server，NSA突破這些單位使用的思科等防火牆後再進行攻擊。