BlueKeep Exploit通过BSOD问题修复变得更加可靠

资料来源：Wikimedia
鸣谢：Dzlinker

• 通过绕过Meltdown CPU漏洞缓解措施的修复，BlueKeep漏洞利用变得越来越可靠。
• 到目前为止，演员一直在野外部署原始的Metasploit代码，以尝试挖矿Monero。
• 由于受害者人数仍然很大，此修复程序会将更多恶意团体推向这个方向。

早在9月，我们就向您通报了BlueKeep漏洞的第一个有效漏洞（CVE-2019-0708），该漏洞的目标是64位Windows 7和Windows 2008 R2。该漏洞是由Metasploit开发的，此前RiskSense安全研究人员向渗透测试公司捐赠了概念验证代码。该漏洞利用并非完全令人agger舌，因此攻击者将无法可靠地发起将恶意蠕虫传播到成千上万个易受攻击的系统的攻击。上周，我们看到了在野外发现的第一个BlueKeep漏洞，研究人员报告说，他们的蜜罐落入了BSOD（蓝屏死机）。

毫无疑问，BSOD是一种有问题的状态，但它无法使攻击者获得对受感染系统的访问权限。在这种情况下，目的是放下Monero矿机。这意味着野外使用的BlueKeep漏洞利用基于Metasploit代码，因此不是很可靠。这也是为什么攻击者没有尝试非常积极地分发漏洞利用程序，也没有使他们易受攻击的系统扫描和感染机制自动化的原因。据ZDNet称，所有这些都将很快改变。

Metasploit和其他著名的研究人员发现，蜜罐之所以进行BSOD，是因为该漏洞利用程序在收到Microsoft的Meltdown CPU漏洞补丁的系统上无法正常工作。知道了这一点，研究人员创建了一个新的BlueKeep漏洞利用有效负载，绕过了KVA阴影缓解（Meltdown），从而消除了挂接系统调用的需要。这不会将这种攻击转化为大规模杀伤性武器，但肯定会使其更具威胁性。行为者手中的漏洞利用更加可靠，这自动意味着对脆弱系统发动攻击的更大动机。

那么，有多少Windows 7和Server 2008仍然容易受到Microsoft远程桌面协议服务中此漏洞的影响？在7月，Binary Edge报告了890k IP地址，这些地址仍然易受攻击。从那时起，这个数字就不可避免地下跌了，但是专家认为它不低于30万。在所有这些时间之后，这些系统很可能永远不会打补丁。对于他们来说，防范上涨威胁的唯一方法是禁用RDP服务，阻止端口3389并启用网络级别身份验证（NLA）。