首次在野发现“大规模利用”BlueKeep RDP漏洞的网络攻击

网络安全研究人员发现了一种新的网络攻击，这被认为是第一次，但却是一次业余尝试，目的是将野外臭名昭著的BlueKeep RDP漏洞武器化，以大规模破坏加密货币开采的易受攻击系统。

今年5月，微软发布了一个修补程序，用于解决一个高度关键的远程代码执行缺陷，名为蓝堡在其Windows远程桌面服务中，只需通过RDP发送精心编制的请求，即可远程利用该服务对易受攻击的系统进行完全控制。

BlueKeep被追踪为CVE-2019-0708，是一个可攻击的漏洞，因为它可以被潜在的恶意软件武装起来，自动从一台易受攻击的计算机传播到另一台计算机，而不需要受害者的交互。

BlueKeep被认为是一个严重的威胁，自从它被发现以来，微软甚至政府机构[NSA和GCHQ]一直在鼓励Windows用户和管理员在黑客抓住他们的系统之前应用安全补丁。

即使是许多安全公司和个人网络安全研究人员，他们成功地为BlueKeep开发了一个完全有效的漏洞，他们也承诺不会为了更大的利益而向公众发布它；尤其是在补丁发布一个月后，近100万个系统被发现存在漏洞。

这就是为什么业余黑客花了将近六个月的时间想出了一个BlueKeep漏洞，它仍然不可靠，甚至没有一个可工作的组件。

BlueKeep漏洞传播加密货币恶意软件

周六，凯文·博蒙特（Kevin Beaumont）首次推测了在野外对BlueKeep的开发，当时他的多个永恒罐RDP蜜罐系统突然崩溃并重新启动。


2017年帮助阻止WannaCry勒索软件爆发的研究人员马库斯·哈钦斯（Marcus Hutchins）随后分析了博蒙特（Beaumont）共享的崩溃转储，并确认“内存中的BlueKeep人工制品和外壳代码可以让Monero矿工掉下。”

在今天发布的一篇博客文章中，哈钦斯说，“最后，我们确认[崩溃转储]中的这段代码指向可执行外壳代码。此时，我们可以在野外断言有效的BlueKeep攻击尝试，外壳代码甚至与BlueKeep Metasploit模块中的外壳代码匹配！”

该漏洞包含编码的PowerShell命令作为初始有效负载，最终从远程攻击者控制的服务器下载最终的恶意可执行二进制文件，并在目标系统上执行。

根据谷歌的VirusTotal恶意软件扫描服务，恶意二进制文件是加密货币恶意软件，利用受感染系统的计算能力挖掘Monero（XMR），为攻击者创造收入。

但这不是可怕的攻击！

哈钦斯还确认，通过这种BlueKeep攻击传播的恶意软件不包含任何自动传播能力，可以在无人协助的情况下从一台计算机跳到另一台计算机。

取而代之的是，这些未知的攻击者似乎首先扫描互联网，找到易受攻击的系统，然后利用它们进行攻击。

换句话说，如果没有可工作的组件，攻击者将只能危害直接连接到互联网的易受攻击系统，而不能危害那些内部连接并可从中访问的系统。

尽管老练的黑客可能已经在利用BlueKeep漏洞对目标受害者进行秘密攻击，但幸运的是，该漏洞尚未被大规模利用，如最初猜测的WannaCry或NotPetya wormable攻击。

然而，在撰写本文时，尚不清楚有多少BlueKeep易受攻击的Windows系统在最新的网络攻击中遭到破坏，以在野外部署Monero miner。

为了保护自己？让我再试一次—；如果你或你的组织仍在使用BlueKeep易受攻击的Windows系统，那就去修复这个该死的漏洞。

如果无法尽快修复组织中的漏洞，那么您可以采取以下缓解措施：

• 如果不需要，请禁用RDP服务。
• 使用防火墙阻止端口3389，或仅通过专用VPN访问端口3389。
• 启用网络级身份验证（NLA）；这是部分缓解措施，以防止任何未经验证的攻击者利用此可攻击的漏洞。