援引外媒SecurityWeek報道,將近100萬臺裝置存在BlueKeep高危漏洞安全隱患,而且已經有駭客開始掃描尋找潛在的攻擊目標。該漏洞編號為CVE-2019-0708,存在於Windows遠端桌面服務(RDS)中,在本月的補丁星期二活動日中已經得到修復。
該漏洞被描述為蠕蟲式(wormable),可以利用RDS服務傳播惡意程式,方式類似於2017年肆虐的WannaCry勒索軟體。目前已經有匿名駭客嘗試利用該漏洞執行任意程式碼,並透過遠端桌面協議(RDP)來發送特製請求,在不需要使用者互動的情況下即可控制計算機。
目前微軟已經發布了適用於Windows 7、Windows Server 2008、Windows XP、Windows Server 2003的補丁。Windows 7和Windows Server 2008使用者可以透過啟用Network Level Authentication (NLA)來防止未經身份驗證的攻擊,並且還可以透過阻止TCP埠3389來緩解威脅。
很多專家可以發現了基於BlueKeep的網路攻擊,不過目前還沒有成熟的PoC。
最初是由0-day收集平臺Zerodium的創始人Chaouki Bekrar發現,BlueKeep漏洞無需任何身份驗證即可被遠端利用。
“我們已經確認微軟近期修補的Windows Pre-Auth RDP漏洞(CVE-2019-0708)可被惡意利用。在沒有身份驗證的情況下,攻擊者可以遠端操作,並獲得Windows Srv 2008、Win 7、Win 2003、XP上的SYSTEM許可權。啟用NLA可在一定程度上緩解漏洞。最好馬上打補丁,”Bekrar發推文表示。
週六,威脅情報公司GreyNoise開始檢測駭客的掃描活動。其創始人Andrew Morris表示,攻擊者正在使用RiskSense檢測到的Metasploit模組掃描網際網路,來尋找易受BlueKeep漏洞攻擊的主機。他週六發推說:“僅從Tor出口節點觀察到此活動,其可能由一個駭客執行。”
目前,這些只是掃描,不是實際的利用嘗試。然而,至少有一個駭客投入了相當多的時間和精力來編制易受攻擊的裝置列表,為實際的攻擊做準備。至少有6家公司透露已開發出BlueKeep漏洞的利用,並且至少可以在網上找到兩篇非常詳細的關於BlueKeep漏洞細節的文章,所以駭客們開發出自己的利用方式也只是時間問題。
在過去兩週裡,infosec社群一直密切關注攻擊跡象、可以簡化RDP漏洞利用以及後續攻擊的PoC程式碼的釋出。到目前為止,沒有研究人員或安全公司釋出此類漏洞的利用程式碼。原因顯而易見,它可以幫助駭客展開大規模攻擊。一些公司已經成功開發了Bluekeep漏洞的利用,但打算保密。 這些公司包括:Zerodium,McAfee,Kaspersky,Check Point,MalwareTech和Valthek。
援引外媒SecurityWeek報道,將近100萬臺裝置存在BlueKeep高危漏洞安全隱患,而且已經有駭客開始掃描尋找潛在的攻擊目標。該漏洞編號為CVE-2019-0708,存在於Windows遠端桌面服務(RDS)中,在本月的補丁星期二活動日中已經得到修復。
該漏洞被描述為蠕蟲式(wormable),可以利用RDS服務傳播惡意程式,方式類似於2017年肆虐的WannaCry勒索軟體。目前已經有匿名駭客嘗試利用該漏洞執行任意程式碼,並透過遠端桌面協議(RDP)來發送特製請求,在不需要使用者互動的情況下即可控制計算機。
目前微軟已經發布了適用於Windows 7、Windows Server 2008、Windows XP、Windows Server 2003的補丁。Windows 7和Windows Server 2008使用者可以透過啟用Network Level Authentication (NLA)來防止未經身份驗證的攻擊,並且還可以透過阻止TCP埠3389來緩解威脅。
很多專家可以發現了基於BlueKeep的網路攻擊,不過目前還沒有成熟的PoC。
最初是由0-day收集平臺Zerodium的創始人Chaouki Bekrar發現,BlueKeep漏洞無需任何身份驗證即可被遠端利用。
“我們已經確認微軟近期修補的Windows Pre-Auth RDP漏洞(CVE-2019-0708)可被惡意利用。在沒有身份驗證的情況下,攻擊者可以遠端操作,並獲得Windows Srv 2008、Win 7、Win 2003、XP上的SYSTEM許可權。啟用NLA可在一定程度上緩解漏洞。最好馬上打補丁,”Bekrar發推文表示。
週六,威脅情報公司GreyNoise開始檢測駭客的掃描活動。其創始人Andrew Morris表示,攻擊者正在使用RiskSense檢測到的Metasploit模組掃描網際網路,來尋找易受BlueKeep漏洞攻擊的主機。他週六發推說:“僅從Tor出口節點觀察到此活動,其可能由一個駭客執行。”
目前,這些只是掃描,不是實際的利用嘗試。然而,至少有一個駭客投入了相當多的時間和精力來編制易受攻擊的裝置列表,為實際的攻擊做準備。至少有6家公司透露已開發出BlueKeep漏洞的利用,並且至少可以在網上找到兩篇非常詳細的關於BlueKeep漏洞細節的文章,所以駭客們開發出自己的利用方式也只是時間問題。
在過去兩週裡,infosec社群一直密切關注攻擊跡象、可以簡化RDP漏洞利用以及後續攻擊的PoC程式碼的釋出。到目前為止,沒有研究人員或安全公司釋出此類漏洞的利用程式碼。原因顯而易見,它可以幫助駭客展開大規模攻擊。一些公司已經成功開發了Bluekeep漏洞的利用,但打算保密。 這些公司包括:Zerodium,McAfee,Kaspersky,Check Point,MalwareTech和Valthek。