威脅演員已經(jīng)開始掃描易受BlueKeep(CVE-2019-0708)漏洞攻擊的Windows系統(tǒng)的互聯(lián)網(wǎng)。此漏洞會影響舊版Windows操作系統(tǒng)中包含的遠(yuǎn)程桌面協(xié)議(RDP)服務(wù),例如XP,7,Server 2003和Server 2008。微軟于5月14日發(fā)布了針對此漏洞的修復(fù)程序,作為2019年5月補(bǔ)丁周二更新列車的一部分,并警告用戶和公司盡快修復(fù)易受攻擊的系統(tǒng),將此問題歸類為非常危險(xiǎn),并警告CVE-2019-0708可以武器化,以創(chuàng)建可疑(自我復(fù)制)的漏洞利用。
許多人將BlueKeep比作2017年在WannaCry,NotPetya和Bad Rabbit勒索軟件爆發(fā)期間使用的EternalBlue漏洞。
沒有概念驗(yàn)證演示代碼(尚未)
出于這個(gè)原因,并且由于微軟的悲觀警告,過去兩周,信息安全社區(qū)一直在關(guān)注攻擊的跡象或發(fā)布任何可以簡化概念的概念驗(yàn)證演示代碼。創(chuàng)建RDP攻擊 - 并固有地啟動(dòng)后續(xù)攻擊。
到目前為止,沒有一個(gè)研究人員或安全公司發(fā)布任何此類演示漏洞利用代碼 - 原因顯而易見,因?yàn)樗梢詭椭{行為者開始大規(guī)模攻擊。
盡管如此,一些實(shí)體已經(jīng)確認(rèn)他們已經(jīng)成功開發(fā)了BlueKeep的漏洞,他們打算保密。該列表包括Zerodium,McAfee,Kaspersky,CheckPoint,MalwareTech和Valthek。
NCC集團(tuán)制定了網(wǎng)絡(luò)安全設(shè)備的檢測規(guī)則,以便公司可以檢測到任何開發(fā)嘗試,并且0patch開發(fā)了一個(gè)可以臨時(shí)保護(hù)系統(tǒng)的微型接頭,直到它們收到官方更新。
此外,RiskSense安全研究員Sean Dillon還創(chuàng)建了一個(gè)工具,公司可以使用和測試他們的PC車隊(duì)是否已經(jīng)針對BlueKeep缺陷進(jìn)行了正確修補(bǔ)。
BLUEKEEP掃描周末開始
安全
據(jù)報(bào)道,美國將中國監(jiān)控?cái)z像機(jī)巨頭??低暳腥牒诿麊?/p>
另外兩個(gè)微軟零日在GitHub上傳
美國聯(lián)邦航空局針對休閑無人機(jī)傳單的新規(guī)則引入了臨時(shí)禁飛區(qū)和培訓(xùn)要求
網(wǎng)絡(luò)安全工作:這些技能最受歡迎,薪酬最高
但是,雖然信息安全社區(qū)持有集體呼吸,但思維攻擊可能永遠(yuǎn)不會開始,但周末事情發(fā)生了變化。
周六,威脅情報(bào)公司GreyNoise開始檢測易受BlueKeep攻擊的Windows系統(tǒng)掃描。
GreyNoise創(chuàng)始人安德魯·莫里斯在接受ZDNet采訪時(shí)表示,他們相信攻擊者正在使用RiskSense檢測到的Metasploit模塊掃描互聯(lián)網(wǎng)上的BlueKeep易受攻擊的主機(jī)。
“這項(xiàng)活動(dòng)是從Tor出口節(jié)點(diǎn)獨(dú)家觀察到的,很可能是由一個(gè)演員執(zhí)行的,”他在周六的一條推文中說道。
目前,這些只是掃描,而不是實(shí)際的利用嘗試。
但是,似乎至少有一個(gè)威脅行為者投入大量時(shí)間和精力來編制易受攻擊的設(shè)備列表,最有可能為實(shí)際攻擊做準(zhǔn)備。
至少有6個(gè)實(shí)體透露,他們已經(jīng)拿出私人BlueKeep戰(zhàn)功,并與在BlueKeep漏洞詳細(xì)信息可在網(wǎng)上至少有兩個(gè)非常詳細(xì)的寫起坐[1,2],它僅僅是一個(gè)直到真正的壞時(shí)間問題人們也提出了自己的功績。
GreyNoise目前正在看到的源于Tor的掃描 - 以及Morris告訴ZDNet在撰寫本文時(shí)仍在進(jìn)行的掃描 - 這是事情即將變得更糟的第一個(gè)跡象。真的更糟!