外媒 SecurityWeek 報道,將近 100 萬台設備存在 BlueKeep 高危漏洞安全隱患,而且已經有黑客開始掃描尋找潛在的攻擊目標。該漏洞編號為 CVE-2019-0708,存在於 Windows 遠程桌面服務(RDS)中,在本月的補丁星期二活動日中已經得到修復。
該漏洞被描述為蠕蟲式(wormable),可以利用 RDS 服務傳播惡意程序,方式類似於 2017 年肆虐的 WannaCry 勒索軟體。目前已經有匿名黑客嘗試利用該漏洞執行任意代碼,並通過遠程桌面協議(RDP)來發送特製請求,在不需要用戶交互的情況下即可控制計算機。
目前微軟已經發布了適用於 Windows 7、Windows Server 2008、Windows XP、Windows Server 2003 的補丁。Windows 7 和 Windows Server 2008 用戶可以通過啟用 Network Level Authentication(NLA)來防止未經身份驗證的攻擊,並且還可以通過阻止 TCP 埠 3389 來緩解威脅。
很多專家可以發現了基於 BlueKeep 的網路攻擊,不過目前還沒有成熟的 PoC。
最初是由 0-day 收集平台 Zerodium 的創始人 Chaouki Bekrar 發現,BlueKeep 漏洞無需任何身份驗證即可被遠程利用。
「我們已經確認微軟近期修補的 Windows Pre-Auth RDP 漏洞(CVE-2019-0708)可被惡意利用。在沒有身份驗證的情況下,攻擊者可以遠程操作,並獲得 Windows Srv 2008、Win 7、Win 2003、XP 上的 SYSTEM 許可權。啟用 NLA 可在一定程度上緩解漏洞。最好馬上打補丁,」Bekrar 發推文表示。
周六,威脅情報公司 GreyNoise 開始檢測黑客的掃描活動。其創始人 Andrew Morris 表示,攻擊者正在使用 RiskSense 檢測到的 Metasploit 模塊掃描互聯網,來尋找易受 BlueKeep 漏洞攻擊的主機。他周六發推說:「僅從 Tor 出口節點觀察到此活動,其可能由一個黑客執行。」
目前,這些只是掃描,不是實際的利用嘗試。然而,至少有一個黑客投入了相當多的時間和精力來編製易受攻擊的設備列表,為實際的攻擊做準備。至少有 6 家公司透露已開發出 BlueKeep 漏洞的利用,並且至少可以在網上找到兩篇非常詳細的關於 BlueKeep 漏洞細節的文章,所以黑客們開發出自己的利用方式也只是時間問題。
[admin
]
來源:cnBeta
連結:https://www.cnbeta.com/articles/tech/851773.htm
近百萬台 Windows 設備存在高危漏洞 BlueKeep 隱患已經有220次圍觀
