cve - 2019 - 0708:在野外BlueKeep利用交付Cryptocurrency矿工
研究人员确定的第一个在野外利用BlueKeep脆弱性近6个月后公布。
背景
安全研究人员凯文·博蒙特(11月2日@GossiTheDog)和马库斯哈钦斯(@MalwareTechBlog确认第一次在野外剥削cve - 2019 - 0708,也被称为BlueKeep。
分析
cve - 2019 - 0708一个关键远程代码执行漏洞在微软的远程桌面服务,2019年5月修补回来。漏洞令人大跌眼镜,尤其是因为微软发布安全更新的支持版本的Windows,为了阻止潜在的蠕虫,可以正如WannaCry传播2017年。博蒙特命名了脆弱性”BlueKeep”,灵感来自于权力的游戏。他后来建立BlueKeep honeypot密切关注全球试图利用漏洞在野外。
cve - 2019 - 0708 RDP megathread脆弱性,即BlueKeep。
——凯文·博蒙特(@GossiTheDog)2019年5月14日
要昵称BlueKeep一样安全的红色保持权力的游戏,通常会导致死亡的一个蓝色屏幕时利用。
这个周末,博蒙特观察到死亡的蓝色屏幕(bsod) BlueKeep honeypot开始11月2日。
嗯,EternalPot RDP honeypot最近都开始BSOD等等。他们只让端口3389。pic.twitter.com/VdiKoqAwkr
——凯文·博蒙特(@GossiTheDog)2019年的11月2日
博蒙特共享内核崩溃转储和哈钦斯从他的“粘蜜罐”,他证实了这是第一次在野外BlueKeep开发。
博客上我发现大规模开发内核转储的BlueKeep坠毁的系统。https://t.co/2tLdLNosYt
- MalwareTech (@MalwareTechBlog)2019年11月3日
哈钦斯共享他的分析在一篇博客文章中,在那里他发现了袭击者利用最近发布的开发模块分发cryptocurrency(或“硬币”)矿业公司被称为“BlueKeep Monero矿工”这是在VirusTotal发现了44%的扫描仪截至11月3日。博蒙特分享了他的见解在一篇博客文章中。
虽然花了几个月前在野外利用BlueKeep看到,期望一直存在。在7月,cryptocurrency矿业僵尸网络被称为WatchBog BlueKeep扫描模块系统识别脆弱。今年8月,喋喋不休的BlueKeep利用开源工具将被纳入。
虽然这在野外利用不是WannaCry-level事件,作为警示提醒人们,组织脆弱系统应该优先考虑立即修补它们。
解决方案
站得住脚的建议立即应用补丁。下表包含相关的安全更新和月度汇总各种产品。
安全更新 | 产品 |
---|---|
4499175(安全) 4499164(每月汇总) |
|
4499180(安全) 4499149(每月汇总) |
|
4499180(安全更新) |
|
4500331(安全更新) |
|
除了修补,站得住脚的建议缓解措施如下:
- 使网络级身份验证(国民)。然而,微软建议国民缓解国民可能是一个组织选择部署除了修补。
- 块RDP(缺省为TCP端口3389)在你周边的防火墙。
- 禁用任何未使用的服务。
- 临终(EOL)操作系统升级。提醒一下,2020年1月14日,Windows 7是终点。
确定影响系统
站得住脚的远程检查插件发布后cve - 2019 - 0708微软披露漏洞。这个插件可以确定影响系统没有提供凭证。
识别系统,没有国民启用,请使用插件58453年。
所有插件的列表来确定BlueKeep (cve - 2019 - 0708)是可用的在这里。
获得更多的信息
- 马库斯哈钦斯的博客BlueKeep剥削在野外(KryptosLogic)
- 凯文·博蒙特的博客在野外BlueKeep剥削
- 微软的博客宣布修复cve - 2019 - 0708
- 微软客户指导cve - 2019 - 0708
加入站不住脚的安全响应团队站得住脚的社区。