cve - 2019 - 0708:在野外BlueKeep利用交付Cryptocurrency矿工

研究人员确定的第一个在野外利用BlueKeep脆弱性近6个月后公布。

背景

安全研究人员凯文·博蒙特(11月2日@GossiTheDog)和马库斯哈钦斯(@MalwareTechBlog确认第一次在野外剥削cve - 2019 - 0708,也被称为BlueKeep。

分析

cve - 2019 - 0708一个关键远程代码执行漏洞在微软的远程桌面服务,2019年5月修补回来。漏洞令人大跌眼镜,尤其是因为微软发布安全更新的支持版本的Windows,为了阻止潜在的蠕虫,可以正如WannaCry传播2017年。博蒙特命名了脆弱性”BlueKeep”,灵感来自于权力的游戏。他后来建立BlueKeep honeypot密切关注全球试图利用漏洞在野外。

cve - 2019 - 0708 RDP megathread脆弱性,即BlueKeep。

要昵称BlueKeep一样安全的红色保持权力的游戏,通常会导致死亡的一个蓝色屏幕时利用。

——凯文·博蒙特(@GossiTheDog)2019年5月14日

这个周末,博蒙特观察到死亡的蓝色屏幕(bsod) BlueKeep honeypot开始11月2日。

嗯,EternalPot RDP honeypot最近都开始BSOD等等。他们只让端口3389。pic.twitter.com/VdiKoqAwkr

——凯文·博蒙特(@GossiTheDog)2019年的11月2日

博蒙特共享内核崩溃转储和哈钦斯从他的“粘蜜罐”,他证实了这是第一次在野外BlueKeep开发。

博客上我发现大规模开发内核转储的BlueKeep坠毁的系统。https://t.co/2tLdLNosYt

- MalwareTech (@MalwareTechBlog)2019年11月3日

哈钦斯共享他的分析在一篇博客文章中,在那里他发现了袭击者利用最近发布的开发模块分发cryptocurrency(或“硬币”)矿业公司被称为“BlueKeep Monero矿工”这是在VirusTotal发现了44%的扫描仪截至11月3日。博蒙特分享了他的见解在一篇博客文章中。

虽然花了几个月前在野外利用BlueKeep看到,期望一直存在。在7月,cryptocurrency矿业僵尸网络被称为WatchBog BlueKeep扫描模块系统识别脆弱。今年8月,喋喋不休的BlueKeep利用开源工具将被纳入。

虽然这在野外利用不是WannaCry-level事件,作为警示提醒人们,组织脆弱系统应该优先考虑立即修补它们。

解决方案

站得住脚的建议立即应用补丁。下表包含相关的安全更新和月度汇总各种产品。

安全更新	产品
4499175(安全) 4499164(每月汇总)	Windows 7的32位(Service Pack 1) Windows 7 x64 (Service Pack 1) Windows Server 2008 R2 itanium系统服务包1 Windows Server 2008 R2 x64-based系统服务包1 Windows Server 2008 R2 x64-based系统Service Pack 1(服务器核心安装)
4499180(安全) 4499149(每月汇总)	Windows Server 2008 Service Pack 2 32位系统 Windows Server 2008 Service Pack 2 32位系统(服务器核心安装) Windows Server 2008 Service Pack itanium系统2 Windows Server 2008 x64-based系统服务包2 Windows Server 2008 x64-based系统服务包2(服务器核心安装)
4499180(安全更新)	Windows Vista SP2 Windows Vista SP2 x64版本
4500331(安全更新)	Windows XP SP3 x86 Windows XP SP2专业x64版本 Windows XP SP3 x86嵌入 Windows Server 2003 SP2 x86 Windows Server 2003 x64版SP2 Windows Server 2003 R2 SP2 Windows Server 2003 R2 x64版SP2

除了修补,站得住脚的建议缓解措施如下:

• 使网络级身份验证(国民)。然而,微软建议国民缓解国民可能是一个组织选择部署除了修补。
• 块RDP(缺省为TCP端口3389)在你周边的防火墙。
• 禁用任何未使用的服务。
• 临终(EOL)操作系统升级。提醒一下,2020年1月14日,Windows 7是终点。

确定影响系统

站得住脚的远程检查插件发布后cve - 2019 - 0708微软披露漏洞。这个插件可以确定影响系统没有提供凭证。

识别系统,没有国民启用,请使用插件58453年。

所有插件的列表来确定BlueKeep (cve - 2019 - 0708)是可用的在这里。

获得更多的信息

• 马库斯哈钦斯的博客BlueKeep剥削在野外(KryptosLogic)
• 凯文·博蒙特的博客在野外BlueKeep剥削
• 微软的博客宣布修复cve - 2019 - 0708
• 微软客户指导cve - 2019 - 0708

加入站不住脚的安全响应团队站得住脚的社区。

了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。得到一个60天免费试用站得住脚的。io脆弱性管理。