安全研究人员Kevin Beaumont和Marcus Hutchins的报告阐明了最近的BlueKeep攻击,该攻击在受感染的设备上安装了加密货币矿工。 在11月初,Beaumont注意到他的蜜罐一直在崩溃,这些蜜罐是用来检测和监视BlueKeep攻击的。 对崩溃源的调查证实,这是由metasploit渗透测试框架的BlueKeep漏洞利用模块引起的。 蜜罐中的这些蓝屏死机(BSOD)崩溃实际上是帮助Beaumont发现现实世界攻击的问题。
通过调查这些事件,Microsoft发现10月下旬的攻击与去年9月的一次活动之间存在关联-这些攻击可能是同一组部署的。 这引起了更多攻击的担忧和警告。 BlueKeep是一个已知的远程执行代码漏洞,会影响Windows 7,Windows Server 2008和Windows Server 2008 R2上的远程桌面协议(RDP)服务。 它是由Microsoft在5月修补的。 Microsoft一直敦促管理员修补其RDP服务,以帮助防御此漏洞的利用。 BlueKeep崩溃的原因和修复
如上所述,博蒙特的BlueKeep蜜罐崩溃并重新启动。 该漏洞不断触发BSOD崩溃,表明其不稳定。 微软的进一步调查显示,BlueKeep攻击企图“使旨在渗透网络的人类操作人员参与其中”,这意味着该恶意软件不是自传播蠕虫。 研究人员在9月首次发布BlueKeep漏洞时就担心“蠕虫”问题。 微软认为,攻击者可能使用手动端口扫描来查找易受攻击的计算机。
根据安全研究人员Sean Dillon的说法,BSOD被触发是因为该漏洞与Microsoft针对Meltdown Intel CPU漏洞发布的补丁不兼容。 但是,有计划更新BlueKeep metasploit漏洞,以支持为Meltdown修补的内核。 不幸的是,这意味着攻击者将更有机会破坏易受攻击的系统-他们可以依靠更稳定的利用程序,而这种利用方法由于不引起BSOD而变得不那么明显了。 安全问题和建议 正如哈钦斯(Hutchins)所强调的那样,在BlueKeep方面,可悲性并不是最紧迫的问题。 真正关心的是服务器是否受到威胁。 易受BlueKeep攻击的大多数设备实际上都是服务器,而受感染的服务器使攻击者可以轻松地在网络内部进行内部旋转和传播。 他指出,Windows服务器通常控制网络上的其他设备,它们是域管理员,已安装网络管理工具或与网络的其余部分共享相同的本地管理员凭据。
令人遗憾的是,即使有关于BlueKeep受到攻击的活跃漏洞的报道,系统管理员仍然没有动力进行补丁。 SANS研究所的研究人员一直在追踪Shodan的修补率,并注意到自5月以来修补率呈下降趋势。 最近的媒体报道称,袭击并没有改变这一轨迹。
以下一些最佳实践可以帮助用户和企业减少对利用BlueKeep的威胁的暴露: 修补并保持系统及其应用程序的更新(或对旧版或报废系统进行虚拟修补)。 限制或保护远程桌面服务的使用。 例如,阻止端口3389(或在不使用端口时将其禁用),可以帮助阻止威胁启动与防火墙后面的系统的连接。 启用网络级别身份验证(NLA),以防止未经身份验证的攻击者利用BlueKeep。 可以在Windows 7和Windows Server 2008(包括R2版本)中进行配置。 强制执行最小特权原则。 采用诸如加密,锁定策略以及其他基于权限或角色的访问控制之类的安全机制,可以提供额外的安全层,以防止涉及破坏远程桌面的攻击或威胁。
趋势科技™趋势科技服务器深度安全防护系统和漏洞防护解决方案通过此深度数据包检测(DPI)规则保护系统和用户免受针对CVE-2019-0708的威胁: 1009749-Microsoft Windows远程桌面服务远程执行代码漏洞
趋势科技™TippingPoint®客户受到保护,免受可能通过此MainlineDV筛选器利用CVE-2019-0708的威胁和攻击: 35296:RDP:没有CredSSP的Microsoft远程桌面服务协商请求
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢
