首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

BlueKeep漏洞发生第一波大规模攻击,引发蓝色死亡屏幕

安全研究人员警告又名BlueKeep的Windows远程桌面协议(remote desktop protocol,RDP)漏洞在发现半年后后,已经有人用来发动第一波攻击,引发蓝色死亡屏幕(blue screen of death,BSOD)。

今年5月微软警告Windows终端服务存在编号CVE-2019-0708的漏洞,或称BlueKeep。本漏洞可使攻击者利用RDP连上目标系统,发送改造过的调用,借此执行任意程序代码、安装恶意程序、读取或删改数据、或新开具完整权限的用户账号。作为预先验证(pre-authentication)漏洞,BlueKeep可让蠕虫繁殖(wormable),从一台有漏洞的计算机复制自我扩散到其他计算机上,有如WannaCry。9月间一家安全厂商将BlueKeep加入Metasploit测试框架,可用于黑入BlueKeep漏洞。受影响的操作系统包括Windows 7、Windows Server 2008及2008 R2,及已经终止支持的Windows XP及Server 2003。

在此之前仅有可疑的网络扫瞄行动,不过现在攻击行动来真的。安全专家Kevin Beaumont近日发现他的EnternalPot RDP诱捕系统近日除了澳洲区以外,各区的系统都出现蓝色死亡屏幕。攻击首次出现在10月23日。系统记录显示2周来发生2,600万次事件、发出66次警告。在此之前,这些系统安装杀毒、系统监控、组态管理等软件,仅仅对互联网开放port 3389,但6个月以来皆运行顺畅。

曾经解决WannaCry、又名MalwareTech的天才黑客Marcus Hutchins分析证实,这是第一批BlueKeep攻击。

所幸,这第一次BlueKeep攻击并未像之前微软担心的会自我复制、扩散。分析显示,这只恶意程序并非蠕虫,而疑似黑客利用早先公布的BlueKeep Metasploit框架的shell code,针对有BlueKeep漏洞的系统发动攻击,旨在植入Monero挖矿软件。但是开采BlueKeep并不容易,一定会引发BSOD以致于黑客行动并未如预期发生。研究人员猜测,可能是这次的黑客不具备修改Metasploit概念验证程序代码的能力。

但ZDNet指出,这次只是黑客界第一次尝试大规模攻击BlueKeep,而非只对特定服务器下手。未来仍然有更多黑客不断尝试,像是在受害系统中植入挖矿软件。

虽然微软2度发出警告,美国政府也发出呼吁应尽快修补漏洞,但安全厂商BitSight估计,截至7月底仍有超过78万台系统仍未修补。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20191104A0P7B200?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券