两周前微软宣布了Windows RDP协议中的一个主要漏洞后,安全专家发现(5月27日)黑客已经开始扫描网络上大规模易受攻击的Windows系统,这表明可能会发起攻击。许多安全供应商也产生了概念验证攻击。
旧版Windows远程桌面服务(RDS)中存在编号为CVE-2019-0708的漏洞。此漏洞可能允许未经授权的攻击者使用RDP连接到目标系统以发送恶意呼叫。成功的矿工可以远程执行任意程序代码,安装恶意软件,读取或删除数据,或者新建一个完全特权的用户帐户。此漏洞的CVSS评分v3风险评分为主要评级的9.8分(满分10分)。 Microsoft强烈建议用户尽快安装修补程序。除Windows 8和Windows 10系统外,Windows XP和Server 2003,Windows 7,Windows Server 2008和2008 R2也受到影响,Microsoft已发布XP和Server 2003的修补程序。此漏洞也称为BlueKeep。
尽管微软表示尚未发现攻击,但安全厂商GreyNoise本周在网络上发现了数十台主机,以大规模扫描BlueKeep漏洞。安全公司观察到扫描操作全部来自Tor网络的输出节点,并且判断是由单个组织或个人做出的。
GreyNoise创始人安德鲁•莫里斯指出,他认为攻击者使用渗透测试工具Metasploit模块来扫描BlueKeep漏洞主机。虽然扫描并不一定意味着攻击,但它很可能是黑客行为的先兆。
在此之前,卡巴斯基,迈克菲和CheckPoint等安全厂商宣布他们已经开发出BlueKeep的概念验证ProC攻击工具。领导MalwareTech的安全研究员(和前黑客)Marcus Hutchins也表示,他只用了一个小时来搞清楚如何攻击并在四天内编写了一个PoC攻击计划。安全公司还呼吁用户尽早安装补丁。