近百万台 Windows 设备存在高危漏洞 BlueKeep 隐患

by admin on 2020年2月26日

外媒 SecurityWeek 报道,将近 100 万台设备存在 BlueKeep
高危漏洞安全隐患,而且已经有黑客开始扫描寻找潜在的攻击目标。该漏洞编号为
CVE-2019-0708,存在于 Windows
远程桌面服务(RDS)中,在本月的补丁星期二活动日中已经得到修复。

将近100万台设备存在BlueKeep高危漏洞安全隐患,而且已经有黑客开始扫描寻找潜在的攻击目标。该漏洞编号为CVE-2019-0708,存在于Windows远程桌面服务中。

澳门新葡亰平台官网 1

该漏洞被描述为蠕虫式(wormable),可以利用 RDS
服务传播恶意程序,方式类似于 2017 年肆虐的 WannaCry
勒索软件。目前已经有匿名黑客尝试利用该漏洞执行任意代码,并通过远程桌面协议(RDP)来发送特制请求,在不需要用户交互的情况下即可控制计算机。

援引外媒SecurityWeek报道,将近100万台设备存在BlueKeep高危漏洞安全隐患,而且已经有黑客开始扫描寻找潜在的攻击目标。该漏洞编号为CVE-2019-0708,存在于Windows远程桌面服务中,在本月的补丁星期二活动日中已经得到修复。

微软在例行的周二安全更新中修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作。编号为
CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226,漏洞影响
Win…

目前微软已经发布了适用于 Windows 7、Windows Server 2008、Windows
XP、Windows Server 2003 的补丁。Windows 7 和 Windows Server 2008
用户可以通过启用 Network Level
Authentication(NLA)来防止未经身份验证的攻击,并且还可以通过阻止 TCP
端口 3389 来缓解威胁。

澳门新葡亰平台官网,该漏洞被描述为蠕虫式,可以利用RDS服务传播恶意程序,方式类似于2017年肆虐的WannaCry勒索软件。目前已经有匿名黑客尝试利用该漏洞执行任意代码,并通过远程桌面协议来发送特制请求,在不需要用户交互的情况下即可控制计算机。

微软在例行的周二安全更新中修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作。编号为
CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226,漏洞影响
Windows 7、8 和 10,以及 Server 2008、2012、2016 和 2019。同时Gooogle
Project Zero安全团队的研究员Tavis
Ormandy报告了一个微软CTF协议的漏洞,影响XP以来的所有Windows版本。

很多专家可以发现了基于 BlueKeep 的网络攻击,不过目前还没有成熟的 PoC。

目前微软已经发布了适用于Windows7、Windows Server 2008、Windows
XP、Windows Server 2003的补丁。Windows 7和Windows Server
2008用户可以通过启用Network Level Authentication
(NLA)来防止未经身份验证的攻击,并且还可以通过阻止TCP端口3389来缓解威胁。

图源:Unsplash

最初是由 0-day 收集平台 Zerodium 的创始人 Chaouki Bekrar 发现,BlueKeep
漏洞无需任何身份验证即可被远程利用。

很多专家可以发现了基于BlueKeep的网络攻击,不过目前还没有成熟的PoC。

编号为CVE-2019-1181、CVE-2019-1182、CVE-2019-1222
和CVE-2019-1226的漏洞允许未经授权的攻击者通过发送特制信息执行任意代码。它们可以利用它们的特性将恶意软件从一台易受攻击的计算机传播到另一台,而无需任何用户操作,就像2017年自我复制的WannaCry和NotPetya爆发一样。漏洞影
Windows 7、8和10,以及Server 2008、2012、2016和2019。

澳门新葡亰平台官网 2

最初是由0-day收集平台Zerodium的创始人Chaouki
Bekrar发现,BlueKeep漏洞无需任何身份验证即可被远程利用。

未经身份验证的攻击者可以通过在已知保护时发送特制邮件来执行恶意代码正如在大型组织中经常进行的那样,关闭网络级别身份验证,类似于微软在5月份修补的所谓BlueKeep漏洞,但这些漏洞能够影响最新的Windows系统,而不仅仅像BlueKeep影响旧版本的系统。一个缓解措施是“启用NLA并为所有外部和内部系统启用它”,但启用NLA并不能完全防御攻击,打开NLA显着增加了需求,设法获取网络凭据的攻击者仍然可以利用这些漏洞来执行他们选择的代码,因为漏洞可以完全绕过RDS本身内置的身份验证机制。

“我们已经确认微软近期修补的 Windows Pre-Auth RDP
漏洞(CVE-2019-0708)可被恶意利用。在没有身份验证的情况下,攻击者可以远程操作,并获得
Windows Srv 2008、Win 7、Win 2003、XP 上的 SYSTEM 权限。启用 NLA
可在一定程度上缓解漏洞。最好马上打补丁,”Bekrar 发推文表示。

我们已经确认微软近期修补的Windows Pre-Auth
RDP漏洞可被恶意利用。在没有身份验证的情况下,攻击者可以远程操作,并获得Windows
Srv 2008、Win 7、Win
2003、XP上的SYSTEM权限。启用NLA可在一定程度上缓解漏洞。最好马上打补丁,Bekrar发推文表示。

而Google Project Zero安全团队的研究员Tavis
Ormandy报告,微软鲜为人知的CTF协议存在漏洞,很被容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何Windows的普通权限或高权限应用,从而接管整个操作系统。

周六,威胁情报公司 GreyNoise 开始检测黑客的扫描活动。其创始人 Andrew
Morris 表示,攻击者正在使用 RiskSense 检测到的 Metasploit
模块扫描互联网,来寻找易受 BlueKeep 漏洞攻击的主机。他周六发推说:“仅从
Tor 出口节点观察到此活动,其可能由一个黑客执行。”

周六,威胁情报公司GreyNoise开始检测黑客的扫描活动。其创始人Andrew
Morris表示,攻击者正在使用RiskSense检测到的Metasploit模块扫描互联网,来寻找易受BlueKeep漏洞攻击的主机。他周六发推说:仅从Tor出口节点观察到此活动,其可能由一个黑客执行。

图源:ArsTechnica

目前,这些只是扫描,不是实际的利用尝试。然而,至少有一个黑客投入了相当多的时间和精力来编制易受攻击的设备列表,为实际的攻击做准备。至少有
6 家公司透露已开发出 BlueKeep
漏洞的利用,并且至少可以在网上找到两篇非常详细的关于 BlueKeep
漏洞细节的文章,所以黑客们开发出自己的利用方式也只是时间问题。

目前,这些只是扫描,不是实际的利用尝试。然而,至少有一个黑客投入了相当多的时间和精力来编制易受攻击的设备列表,为实际的攻击做准备。至少有6家公司透露已开发出BlueKeep漏洞的利用,并且至少可以在网上找到两篇非常详细的关于BlueKeep漏洞细节的文章,所以黑客们开发出自己的利用方式也只是时间问题。

CTF代表什么,Ormandy和发现错误协议的人没有查到,它是Windows Text
Services Framework (Windows文本服务框架,TSF)
的一部分,用于管理Windows或Windows应用程序内的文本展示。当用户启动一个应用,Windows会启动一个CTF客户端,这个客户端会从一个CTF服务器接收有关操作系统语言和键盘输入方法的指令。如果操作系统输入法从一种语言切换到另一种语言,
CTF服务器会通知所有CTF客户端,实时改变每个Windows应用程序中的语言。

稿源:cnBeta

在过去两周里,infosec社区一直密切关注攻击迹象、可以简化RDP漏洞利用以及后续攻击的PoC代码的发布。到目前为止,没有研究人员或安全公司发布此类漏洞的利用代码。原因显而易见,它可以帮助黑客展开大规模攻击。一些公司已经成功开发了Bluekeep漏洞的利用,但打算保密。
这些公司包括:Zerodium,McAfee,Kaspersky,Check
Point,MalwareTech和Valthek。

漏洞在于CTF服务器和客户端之间通信是不安全的,没有正确的身份验证和恰当的保护,没有访问控制。攻击者可以劫持另一个应用的CTF会话,伪装成服务器向客户端发送命令。攻击者可以使用此漏洞从其他应用程序窃取数据,或者他们可以使用它来发布这些应用程序名称中的命令。如果应用运行在高权限上,攻击者可以控制整个操作系统。根据Ormandy的说法,任何应用程序或Windows进程都可以争夺。由于CTF的作用

责任编辑:焦旭

  • 在任何应用程序或服务中显示文本 –
    Windows操作系统上的所有内容和每个用户界面元素都有一个CTF会话。

图源:ZDnet

漏洞影响到XP以来的所有Windows版本,微软告诉ZDNet网站,他们已经把CTF协议漏洞和修复程序跟踪为CVE-2019-1162,目前不清楚微软是否或何时会释出补丁。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图