BlueKeep RDP 脆弱性 ( CVE -2019-0708)是一个远程执行代码缺陷,会影响大约一百万运行旧版Microsoft操作系统的系统(截至2019年5月29日)。大约两周前,在微软期间,注意力转移到了BlueKeep's 2019年5月补丁星期二。 微软发布补丁 但是他们警告说该漏洞是 蠕虫的 吸引了安全研究人员的注意,他们发现了有关此新兴威胁的更多发现。
担心BlueKeep的五个原因
1. BlueKeep是一个"wormable" flaw
就是那个'类似于EternalBlue 利用 那是用在 勒索软件 诸如 想哭 和NotPetya。可恶性攻击尤其危险,因为它们可以在不受保护的系统上自动传播。
2. BlueKeep主要影响较旧,更易受攻击的系统
影响旧系统的漏洞是双重打击 网络安全风险。供应商(在本例中为Microsoft)或最终用户通常无法很好地维护在旧操作系统上运行的系统,因为它们'通常会运行旧版应用程序。例如,Windows XP受到了影响,这是不受支持的。微软感到非常担忧的是,BlueKeep足够重要,足以保证五年内XP的第一个Patch Tuesday发布。
3.漏洞的性质很容易导致危险的攻击
远程桌面服务(RDS)中的远程代码执行漏洞的风险是,攻击者可以通过RDP(远程桌面协议)连接到目标系统并在系统上运行任意代码来利用它。考虑到涉及RDS / RDP,大约100万个暴露目标中有一部分很可能是高价值目标,例如跳转框,它们是更有价值的网络的切入点。
4.检测到迫在眉睫的威胁
报告表明,许多威胁参与者正在执行端口扫描,以检测Windows系统上的BlueKeep漏洞。这些演员被发现藏匿在数十名 TOR出口节点,表明下一步可能是与BlueKeep相关的攻击浪潮。值得庆幸的是,安全研究人员尚未发布任何BlueKeep的概念验证漏洞利用代码。但是,有几家公司公开披露他们've成功为BlueKeep开发了漏洞利用代码,他们打算将其保密。清单包括 迈克菲 , 卡巴斯基 , 检查点 and 恶意软件技术.
5.易受攻击的系统很容易被发现
It'查找公开的主机从未如此简单。 Masscan和Zmap之类的工具可用于在几分钟内扫描整个Internet,从而使攻击者轻松地找到易受攻击的系统。 Masscan的作者Errata Security的Robert Graham已经发表了一篇 GitHub上用于BlueKeep的开源扫描仪.
哪些系统容易受到BlueKeep的攻击?
BlueKeep漏洞会影响旧版本的Microsoft Windows,包括:
- Windows XP
- Windows Vista
- Windows 7的
- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
在此阶段,较新版本的Windows(例如Windows 10和Windows 8)被认为是安全的。
如何减轻BlueKeep带来的风险
使用的组织 UpGuard 能够立即查明其网络上的任何易受攻击的计算机,并帮助回答降低此新兴威胁风险的关键问题:
- 是我的组织'面向Internet的内部计算机公开端口3389?是我的 第三方供应商 裸露?
- RDP是否在这些端口上运行?
- 哪些易受攻击的计算机正在运行Windows的旧版本,并且已对其进行了修补? UpGuard 已经发布了一项政策,供我们的客户检测到这一点。
- 机器是否启用了NLA(网络级身份验证)?具有有效凭据的攻击者仍然可以利用这些计算机。但是,它们较不容易受到基于匿名蠕虫的攻击。
如果您的组织正在寻求有关BlueKeep RDP漏洞的帮助,UpGuard可以在攻击之前查明并管理该威胁。
