互联网中发现近百万个系统易受到BlueKeep(CVE-2019-0708)...

22.png

大约有一百万台暴露在公网的设备易受到BlueKeep Windows漏洞的攻击,而且黑客已经准备好攻击它们了。

昨天我报告了GreyNoise专家发现的发现,有黑客在全球范围内寻找易受BlueKeep(CVE-2019-0708)漏洞影响的系统。

此次扫描是在2019年5月25日被首次发现,安全专家解释说,这是由一名未知的攻击者为了隐藏其身份,从暗网中发起的,。

33.png

Bad Packets研究人员还观察到其他与BlueKeep相关的扫描活动,大多数扫描的发起点来自荷兰,俄罗斯和中国。

44.png55.png

此次扫描浪潮中涉及的漏洞被标记为CVE-2019-0708,它主要影响Windows的远程桌面服务(RDS),微软于2019年5月发布了安全补丁。值得注意的是,BlueKeep似乎可以被恶意软件作者用来创建具有WannaCry(勒索)功能的攻击软件。

正如微软所解释的那样,这个漏洞可以让攻击者在没有用户交互的情况下直接控制目标,从而使恶意软件迅速渗透到目标的内部网络中。

许多安全专家已经针对此漏洞开发了自己的漏洞利用代码,但均没有公开,原因可以说是很明显。

Microsoft已发布了适用于Windows 7,Server 2008,XP和Server 2003的安全补丁。Windows 7和Server 2008用户还可以通过启用网络级别身份验证(NLA)来防止漏洞的攻击,当然,你也可以直接关闭端口3389。

SANS研究所的专家观察到两个可公开获得的部分漏洞利用脚本。0day经纪公司Zerodium的创始人Chaouki Bekrar解释说,未经身份验证的用户可以利用该漏洞远程获取目标系统的SYSTEM权限。McAfee的研究人员也发布了一种PoC,或许可以利用它来开发攻击代码。

其他安全公司的专家也宣布已成功开发了BlueKeep的攻击脚本,包括卡巴斯基Check PointMalware Tech

而在近期,知名安全专家Robert Graham已经对全球互联网上所有潜在的目标进行了扫描,他最终发现了超过923000个存在漏洞的系统,所使用的工具是masscan和修改后的rdpscan

在用masscan扫描了几个小时后,专家就找到了7629102个运行着远程桌面的设备。

不过,Robert Graham同时也表示:“这个结果并不是很准确,大约只有一半是真正的远程桌面”。

“Masscan只能找到特定的开放端口,无法测试漏洞存在与否。远程桌面协议是一个很复杂的协议。在以前有一个安全测试项目,可以连接到一个IP地址并对其进行测试,以查看漏洞是否修补。我把那个项目进行了优化, rdpscan,然后用它来扫描masscan扫描出的结果。虽然它速度很慢,只有masscan的一千分之一,但它毕竟只是扫描masscan的结果,而不是整个互联网”。

最后扫描结果显示全球范围有923671个存在漏洞的系统,黑客可能在未来几周发动大规模攻击。

“结果是,测试证实大约有950000台存在漏洞的机器暴露在互联网上。黑客可能会在接下来的一两个月内把它和一个强大的漏洞组合起来,对这些目标进行深度攻击”。

以下是专家扫描的详细结果:

  • 1447579 UNKNOWN - 接收超时
  • 1414793 SAFE - 目标似乎已被修复
  • 1294719 UNKNOWN - 重置连接
  • 1235448 SAFE - 要求CredSSP/NLA
  • 923671 VULNERABLE - 得到了appid
  • 651545 UNKNOWN - FIN已收到
  • 438480 UNKNOWN - 连接超时
  • 105721 UNKNOWN - 连接失败9
  • 82836 SAFE - 不是RDP而是HTTP
  • 24833 UNKNOWN - 连接时重置连接
  • 3098 UNKNOWN - 网络错误
  • 2576 UNKNOWN - 连接已终止

总而言之,140多万台机器已经被修复,而且还有120万机器拒绝未经身份验证的连接。

对于网络管理员来说,及时打补丁是唯一一个确保安全的方法。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/86240/hacking/internet-scan-bluekeep.html
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐