查看原文
其他

首例大规模利用 BlueKeep RDP 漏洞的攻击现身但并非蠕虫

Catalin Cimpanu 代码卫士 2022-04-06
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队

安全研究员发现首例大规模利用 BlueKeep 利用代码的攻击,然而,该利用代码并非用作自传播蠕虫。5月份,微软发布紧急更新并督促用户打补丁。

安全专家Kevin Beaumont 指出,某黑客组织正在使用 Metasploit 团队在9月份发布的一个BlueKeep 演示利用代码攻击未修复的 Windows 系统并安装密币矿机。

Beaumont 指出他从自己在几个月前设立但后来忘记的蜜罐记录的日志中发现了这些利用代码。首次攻击现身于10月23日。他的发现得到了阻止 WannaCry 勒索软件爆发的研究员 Marcus “MalwareTech” Hutchins 的证实,后者是 BlueKeep 利用代码受到认可的专家。

Beaumont 这次发现的攻击和微软在5月份担心发生的攻击不可相提并论。当时微软将 BlueKeep 比作“永恒之蓝 (EternalBlue)”。后者是2017年出现的 WannaCry、NotPetya 和 Bad Rabbit 勒索软件的核心。微软工程师担心 BlueKeep 将触发另外一起世界范围内的勒索软件攻击,从未修复系统传播至修复系统。

然而,该首次大规模的黑客行动并非自我传播性质的蠕虫。黑客似乎在寻找 RDP 端口暴露在互联网上的 Windows 系统,部署 BlueKeep Metasploit 利用代码之后部署密币矿机。Beaumont指出这些攻击导致他运行的10个(共11个)蜜罐崩溃。这表明攻击者的利用代码并不如愿。

这种结果佐证了多数专家在过去几个月来关于 BlueKeep 的论断。虽然该 BlueKeep 利用代码能够造成灾难性后果,但如果不能导致 OS 出现蓝屏死机 (BSOD) 错误则不能使利用代码起作用。

近期发动这些攻击幕后的人员/组织似乎并不具备修改 BlueKeep 演示利用代码的能力。然而,他们发动的其中一些攻击是成功的。我们从中可看到首个武器化这个危险的利用代码的黑客组织大规模发动攻击,而并非针对某个具体目标。不过 ZDNet 表示此前曾注意到其它黑客也曾利用 BlueKeep 发动针对性攻击且成功实施。

在未来某个时候,一些技能平平的威胁者将找到如何正确运行 BlueKeep 的方法,而届时将看到它被广泛使用的情况。不过很大概率它仍然会被用作密币矿机,而这也是“永恒之蓝”被使用最多的场景。

BlueKeep 补丁信息

BlueKeep 即 CVE-2019-0708,它是存在于微软 RDP 服务中的一个漏洞,它仅影响 Windows 7、Windows Server 2008 R2 和 Windows Server 2008。

微软已发布相关补丁(官方公告https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708)。

2019年9月份,Metasploit渗透测试团队发布首个公开的 BlueKeep 演示利用代码,目的是帮助系统管理员测试易受攻击的系统,不过它也可能被恶意人员利用。自6月份以来已存在数十个由网络安全公司发布的其它私密利用代码,但为避免遭攻击者利用并未发布。

尽管修复系统的时间有数月之久,但在线暴露 RDP 端点的公开可访问且易遭 BlueKeep 漏洞攻击的Windows 系统仍然有75万个作用。而该扫描结果并不包含受防火墙保护的私有网络中的系统数量。



推荐阅读

速修复!这家美国网络安全公司正在出售武器化的 BlueKeep 利用代码

高手已开发出 BlueKeep RCE PoC,微软再发打补丁警告



原文链接
https://www.zdnet.com/article/bluekeep-attacks-are-happening-but-its-not-a-worm/





题图:Pixabay License



本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存