近100万台计算机仍然容易受到“可工作”BlueKeep RDP漏洞的攻击

如果受到攻击，该漏洞可能使攻击者容易在世界各地造成破坏，可能比WannaCry和NotPetya在2017年的类似wormable的攻击更糟糕。

该漏洞名为BlueKeep，被追踪为CVE-2019-0708，影响Windows 2003、XP、Windows 7、Windows Server 2008和2008 R2版本，并可能在未受保护的系统上自动传播。

该漏洞允许未经验证的远程攻击者通过RDP—向设备的远程桌面服务（RDS）发送精心编制的请求，从而执行任意代码并控制目标计算机，无需用户进行任何交互。
微软将BlueKeep漏洞描述为可工作漏洞，可能会让恶意软件像WannaCry一样传播到易受攻击的系统，并发布了一个安全修复程序，通过2019年5月的补丁周二更新来解决该漏洞。

然而，攻击性安全研究公司Errata security的负责人罗伯特·格雷厄姆（Robert Graham）进行的最新互联网扫描显示，不幸的是，互联网上大约95万台可公开访问的机器容易受到BlueKeep漏洞的攻击。

这显然意味着，即使在安全补丁发布之后，并不是每个用户和组织都部署了它来解决这个问题，这对个人和组织构成了巨大的风险，包括工业和医疗环境。

格雷厄姆使用了“rdpscan”，这是他在masscan端口扫描仪上构建的一种快速扫描工具，可以扫描整个互联网，寻找仍然易受BlueKeep漏洞攻击的系统，并发现了700万个系统正在监听端口3389，其中约100万个系统仍然易受攻击。

 

“黑客很可能在未来一两个月内发现一个强大的漏洞，并对这些机器造成严重破坏，”研究人员说。

“这意味着，当蠕虫攻击时，它可能会危害到这100万台设备。这可能会导致像WannaCry，而不是2017年的Petya一样具有破坏性的事件——可能会更糟，因为黑客们已经磨练了他们利用这些设备获取勒索软件和其他肮脏信息的技能”。

BlueKeep漏洞极有可能在全球范围内造成严重破坏，它迫使微软不仅为受支持的Windows版本发布修补程序，还为Windows XP、Windows Vista和Windows Server 2003发布修补程序，这些版本不再获得该公司的主流支持，但仍在广泛使用。

GreyNoise Intelligence表示，不仅是研究人员，恶意黑客和网络罪犯也开始在互联网上扫描易受攻击的Windows系统，以恶意软件作为攻击目标。

 

“GreyNoise正在观察互联网上数十台主机对易受RDP“BlueKeep”（CVE-2019-0708）漏洞攻击的系统进行的全面测试。这一活动仅在Tor出口节点上观察到，可能由一个参与者执行，”推文说。

然而，幸运的是，到目前为止，还没有安全研究人员公开发布任何BlueKeep的概念验证攻击代码，尽管他们中的一些人已经确认已经成功开发了一个有效的攻击。

你还在等我告诉你下一步该做什么吗？如果你正在使用其中一个，那就去修复这个该死的漏洞。

如果无法尽快修复组织中的缺陷，那么您可以采取以下缓解措施：

• 如果不需要，请禁用RDP服务。
• 使用防火墙阻止端口3389，或仅通过专用VPN访问端口3389。
• 启用网络级身份验证（NLA）和，这是部分缓解措施，以防止任何未经验证的攻击者利用此可攻击的漏洞。