大约有一百万台暴露在公网的设备易受到BlueKeep Windows漏洞的攻击,而且黑客已经准备好攻击它们了。
昨天我报告了GreyNoise专家发现的发现,有黑客在全球范围内寻找易受BlueKeep(CVE-2019-0708)漏洞影响的系统。
此次扫描是在2019年5月25日被首次发现,安全专家解释说,这是由一名未知的攻击者为了隐藏其身份,从暗网中发起的,。
Bad Packets研究人员还观察到其他与BlueKeep相关的扫描活动,大多数扫描的发起点来自荷兰,俄罗斯和中国。
此次扫描浪潮中涉及的漏洞被标记为CVE-2019-0708,它主要影响Windows的远程桌面服务(RDS),微软于2019年5月发布了安全补丁。值得注意的是,BlueKeep似乎可以被恶意软件作者用来创建具有WannaCry(勒索)功能的攻击软件。
正如微软所解释的那样,这个漏洞可以让攻击者在没有用户交互的情况下直接控制目标,从而使恶意软件迅速渗透到目标的内部网络中。
许多安全专家已经针对此漏洞开发了自己的漏洞利用代码,但均没有公开,原因可以说是很明显。
Microsoft已发布了适用于Windows 7,Server 2008,XP和Server 2003的安全补丁。Windows 7和Server 2008用户还可以通过启用网络级别身份验证(NLA)来防止漏洞的攻击,当然,你也可以直接关闭端口3389。
SANS研究所的专家观察到两个可公开获得的部分漏洞利用脚本。0day经纪公司Zerodium的创始人Chaouki Bekrar解释说,未经身份验证的用户可以利用该漏洞远程获取目标系统的SYSTEM权限。McAfee的研究人员也发布了一种PoC,或许可以利用它来开发攻击代码。
其他安全公司的专家也宣布已成功开发了BlueKeep的攻击脚本,包括卡巴斯基,Check Point和Malware Tech。
而在近期,知名安全专家Robert Graham已经对全球互联网上所有潜在的目标进行了扫描,他最终发现了超过923000个存在漏洞的系统,所使用的工具是masscan和修改后的rdpscan。
在用masscan扫描了几个小时后,专家就找到了7629102个运行着远程桌面的设备。
不过,Robert Graham同时也表示:“这个结果并不是很准确,大约只有一半是真正的远程桌面”。
“Masscan只能找到特定的开放端口,无法测试漏洞存在与否。远程桌面协议是一个很复杂的协议。在以前有一个安全测试项目,可以连接到一个IP地址并对其进行测试,以查看漏洞是否修补。我把那个项目进行了优化, rdpscan,然后用它来扫描masscan扫描出的结果。虽然它速度很慢,只有masscan的一千分之一,但它毕竟只是扫描masscan的结果,而不是整个互联网”。
最后扫描结果显示全球范围有923671个存在漏洞的系统,黑客可能在未来几周发动大规模攻击。
“结果是,测试证实大约有950000台存在漏洞的机器暴露在互联网上。黑客可能会在接下来的一两个月内把它和一个强大的漏洞组合起来,对这些目标进行深度攻击”。
以下是专家扫描的详细结果:
- 1447579 UNKNOWN - 接收超时
- 1414793 SAFE - 目标似乎已被修复
- 1294719 UNKNOWN - 重置连接
- 1235448 SAFE - 要求CredSSP/NLA
- 923671 VULNERABLE - 得到了appid
- 651545 UNKNOWN - FIN已收到
- 438480 UNKNOWN - 连接超时
- 105721 UNKNOWN - 连接失败9
- 82836 SAFE - 不是RDP而是HTTP
- 24833 UNKNOWN - 连接时重置连接
- 3098 UNKNOWN - 网络错误
- 2576 UNKNOWN - 连接已终止
总而言之,140多万台机器已经被修复,而且还有120万机器拒绝未经身份验证的连接。
对于网络管理员来说,及时打补丁是唯一一个确保安全的方法。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/86240/hacking/internet-scan-bluekeep.html