BlueKeep:研究人员向我们展示了这种利用Windows系统的行为有多么危险
微软(Microsoft) Windows操作系统近两个月前就发布了安全更新,而尚未修补这一严重漏洞的用户,正面临着来自黑客的风险。
被称为BlueKeep的CVE-2019-0708漏洞于5月份首次被报告,它允许攻击者连接到远程桌面协议服务(RDP),并发出可能窃取或修改数据、安装恶意软件和进行其他恶意活动的命令。
该漏洞被认为非常危险,微软多次要求用户使用补丁,甚至美国国家安全局(NSA)也发布了针对BlueKeep的公开警告。
该漏洞与美国国家安全局(NSA)泄露的黑客工具“永恒蓝”(EternalBlue)具有类似蠕虫式的传播功能。
它会影响运行Windows XP、Windows 7、Windows Server 2003和Windows Server 2008的电脑,风险被认为是如此之大,以至于微软发布了针对Windows操作系统的补丁,而这些系统现在被认为是不受支持的。
目前还没有迹象表明BlueKeep在野外被利用,但Sophos的安全研究人员已经推翻了微软的补丁,并开发了一个概念验证,展示了攻击者如何在不需要受害者任何输入的情况下部署对RDP系统的攻击。
如果攻击者也能做到这一点,他们就可以使用BlueKeep发出破坏性的命令,攻击数百万仍易受攻击的Windows系统。
研究人员使用Windows 7虚拟机,利用Windows上的可访问性特性来部署BlueKeep,以改变Windows的可访问性菜单,绕过安全性,获得访问桌面的权限。
安全专家担心,这个漏洞可能会被用于任何用途,从安装用于秘密攻击的木马恶意软件,到在被破坏的系统上部署勒索软件,甚至只是清除整个网络。对于那些只关心感染尽可能多的机器而不关心受害者是谁的攻击者来说,这个漏洞尤其有用。
Sophos公司的首席研究员安德鲁·勃兰特说:“像这样的攻击属于‘喷雾和祈祷’的范畴,攻击者不会挑剔他们的目标是谁,而且有一部分机器很容易受到攻击。”
研究人员不愿公布他们的概念证明,因为他们说这样做风险太大,但他们已经发布了一份技术支持公告,建议采取行动。
最重要的建议是,用户修补他们的系统,以确保他们使用Bluekeep免受攻击,但是研究人员还建议切断RDP是没有必要的,要求用户使用VPN连接到一个内部RDP服务器和额外的控件,比如多因素身份验证应用于机器托管RDP服务。