安全专家近日表示,BlueKeep漏洞的概念验证攻击程序在“改良”下,已经不再引发蓝色死亡屏幕(Bluescreen of Death,BSoD),将使攻击效率更高。
月初安全专家Kevin Beaumont侦测到针对BlueKeep(CVE-2019-0708)漏洞的第一波攻击,造成他的EnternalPot RDP诱捕系统近日除了澳洲区以外,各区的系统都出现蓝色死亡屏幕。这波攻击用的正是安全企业Rapid7打造的Metasploit攻击测试框架,其中结合了RiskSense研究人员Sean Dillon(推特代号zerosum0x0)贡献的程序代码。
Dillon对媒体ZDNet表示,第一波BlueKeep攻击造成的BSoD,基本上是他早期版程序代码的“bug”,使Metasploit框架和Meltdown修补程序不兼容,而无法让攻击者远程访问受害系统。想要成功黑入系统,还需要加入程序代码来绕过微软称为KVA Shadow的Meltdown修补程序。也就是说,系统有安装该修补程序才会出现蓝色死亡屏幕;出现BSoD反而表示BlueKeep攻击并未成功,并且有助于安全人员提高警觉。
但Dillon说,他手上即将完成的新版程序代码经过改写,已经可以克服这只“bug”,也就是说,未来的Metasploit框架将能进行更有效的攻击,即使受害计算机安装KVA Shadow修补程序。他预计本周新版Metasploit就会完成。
这也印证代号MalwareTech的安全专家Marcus Hutchins的隐忧。他说上星期第一波BlueKeep攻击发生时,由于并非当初微软担心的蠕虫,许多人以为这波攻击没什么。但他认为这正是搞错重点;他说BlueKeep攻击程序的真正风险不在于是否为蠕虫,BlueKeep漏洞让攻击者黑入服务器,再利用自动化工具在内网为害,像是丢入勒索软件。因此BlueKeep攻击仍十分危险,不能掉以轻心。
根据系统管理与网络安全(SANS)协会研究人员Jan Kopriva的调查,企业修补BlueKeep漏洞速度还不够快。他分析Shodan扫瞄网络上port 3389有回应的(即对互联网开放,而可能遭受BlueKeep恶意程序攻击)系统比例,显示大约还有52万台系统未修补。研究人员认为,虽然开放port 3389的比例逐月降低,但还没低到不成为攻击者目标的地步。