外媒 SecurityWeek 報道,將近 100 萬臺設備存在 BlueKeep 高危漏洞安全隱患,而且已經(jīng)有黑客開始掃描尋找潛在的攻擊目標。該漏洞編號為 CVE-2019-0708,存在于 Windows 遠程桌面服務(RDS)中,在本月的補丁星期二活動日中已經(jīng)得到修復。
該漏洞被描述為蠕蟲式(wormable),可以利用 RDS 服務傳播惡意程序,方式類似于 2017 年肆虐的 WannaCry 勒索軟件。目前已經(jīng)有匿名黑客嘗試利用該漏洞執(zhí)行任意代碼,并通過遠程桌面協(xié)議(RDP)來發(fā)送特制請求,在不需要用戶交互的情況下即可控制計算機。
目前微軟已經(jīng)發(fā)布了適用于 Windows 7、Windows Server 2008、Windows XP、Windows Server 2003 的補丁。Windows 7 和 Windows Server 2008 用戶可以通過啟用 Network Level Authentication(NLA)來防止未經(jīng)身份驗證的攻擊,并且還可以通過阻止 TCP 端口 3389 來緩解威脅。
很多專家可以發(fā)現(xiàn)了基于 BlueKeep 的網(wǎng)絡攻擊,不過目前還沒有成熟的 PoC。
最初是由 0-day 收集平臺 Zerodium 的創(chuàng)始人 Chaouki Bekrar 發(fā)現(xiàn),BlueKeep 漏洞無需任何身份驗證即可被遠程利用。
“我們已經(jīng)確認微軟近期修補的 Windows Pre-Auth RDP 漏洞(CVE-2019-0708)可被惡意利用。在沒有身份驗證的情況下,攻擊者可以遠程操作,并獲得 Windows Srv 2008、Win 7、Win 2003、XP 上的 SYSTEM 權(quán)限。啟用 NLA 可在一定程度上緩解漏洞。最好馬上打補丁,”Bekrar 發(fā)推文表示。
周六,威脅情報公司 GreyNoise 開始檢測黑客的掃描活動。其創(chuàng)始人 Andrew Morris 表示,攻擊者正在使用 RiskSense 檢測到的 Metasploit 模塊掃描互聯(lián)網(wǎng),來尋找易受 BlueKeep 漏洞攻擊的主機。他周六發(fā)推說:“僅從 Tor 出口節(jié)點觀察到此活動,其可能由一個黑客執(zhí)行。”
目前,這些只是掃描,不是實際的利用嘗試。然而,至少有一個黑客投入了相當多的時間和精力來編制易受攻擊的設備列表,為實際的攻擊做準備。至少有 6 家公司透露已開發(fā)出 BlueKeep 漏洞的利用,并且至少可以在網(wǎng)上找到兩篇非常詳細的關(guān)于 BlueKeep 漏洞細節(jié)的文章,所以黑客們開發(fā)出自己的利用方式也只是時間問題。