首次发现“ BlueKeep”漏洞

• 第一次BlueKeep网络攻击就是要丢弃Monero矿工。
• 这是业余爱好者的工作，但是事情肯定会迅速升级。
• 数十万个关键系统仍未打补丁，其中许多将保持这种状态。

在我们被警告说BlueKeep在7月被武器化的真正可能性之后，以及Metasploit在9月发布了一个有效的利用方法之后，才发现了第一个在野外漫游的实际利用方法。根据最早发现它的研究人员的说法，这是业余演员的尝试，因此这并不是IT界的威胁。但是，这只是有记录的首次尝试，这使我们想起了修补程序的重要性，以及即使Microsoft几个月前修复了CVE-2019-0708的事实，仍有大约300,000个关键系统仍处于脆弱状态。

呵呵，EternalPot RDP蜜罐最近都开始使用BSOD。它们仅公开端口3389。pic.twitter.com/VdiKoqAwkr

-凯文·博蒙特（@GossiTheDog）2019年11月2日

研究员凯文·博蒙特（Kevin Beaumont）是他的EternalPot RDP蜜罐死亡的蓝屏之后，最早发现这一漏洞的人之一。经过进一步分析，发现该漏洞利用的目的是丢弃Monero矿工。最初的有效负载功能使用已编码的PowerShell命令，这些命令可以使一系列恶意代码运行。 XMR恶意软件终于在挖矿Monero，通过使用受感染系统的计算资源为参与者赚钱。

这是一种可蠕虫利用的相当退化的方法，当然，这是故事中唯一的好消息。 BlueKeep的第一个漏洞不是自我传播或积极传播的。攻击者正在扫描网络以找到可利用的目标，然后专门对其进行感染。也就是说，到目前为止，研究人员一直没有警告过像WannaCry那样的风险。这表示目前尚未连接到互联网的易受攻击的系统是安全的，但这并不意味着这种情况将永远保持下去。恶意的演员和知识渊博的人比那些创造了第一个漏洞的人要早得多。

现在，如果无法进行更新，您可以执行的操作是禁用RDP服务，阻止端口3389并启用网络级别身份验证（NLA）。如果您到目前为止一直在推迟修补，以为没有可用的漏洞利用，那么显然是时候重新考虑这个概念了。现有的漏洞利用程序可能并不令人吃惊，但它可以证明和提醒BlueKeep的危险。