隨著PoC代碼的公開(kāi) 微軟發(fā)布了關(guān)于修補(bǔ)BlueKeep的第二次警告

微軟再次警告各公司修補(bǔ)舊版本的Windows，以應(yīng)對(duì)遠(yuǎn)程桌面協(xié)議(RDP)服務(wù)中可能被遠(yuǎn)程濫用的嚴(yán)重漏洞，該公司將其比作導(dǎo)致WannaCry、NotPetya和Bad Rabbit勒索軟件爆發(fā)的永恒藍(lán)色漏洞。

更糟糕的是，利用該漏洞的有限概念驗(yàn)證代碼(稱為BlueKeep，或CVE-2019-0708)在過(guò)去兩天出現(xiàn)在網(wǎng)上。

“微軟相信存在一個(gè)利用這個(gè)漏洞,如果最近的報(bào)告是準(zhǔn)確的,近一百萬(wàn)臺(tái)電腦直接連接到互聯(lián)網(wǎng)仍然容易受到cve - 2019 - 0708,”Simon教皇說(shuō)?事件反應(yīng)主任?微軟安全響應(yīng)中心(MSRC)。

對(duì)易受BlueKeep攻擊的計(jì)算機(jī)的掃描已經(jīng)以越來(lái)越快的速度進(jìn)行了近一周。在真正的攻擊開(kāi)始之前，操作系統(tǒng)制造商現(xiàn)在發(fā)出了最后的警報(bào)。

補(bǔ)丁目前可用于Windows XP、Windows Vista、Windows 7、Windows Server 2003和Windows Server 2008——這些Windows版本容易受到BlueKeep攻擊。

微軟在5月14日首次警告了這個(gè)漏洞，當(dāng)時(shí)它發(fā)布了這個(gè)月的補(bǔ)丁周二更新。當(dāng)時(shí)，它說(shuō)這個(gè)漏洞是危險(xiǎn)的，因?yàn)樗粌H允許遠(yuǎn)程執(zhí)行，而且這個(gè)漏洞還可以自我復(fù)制。

“我們的建議是一樣的。我們強(qiáng)烈建議所有受影響的系統(tǒng)應(yīng)盡快更新，”Pope說(shuō)。

這位微軟高管還警告企業(yè)，不要認(rèn)為沒(méi)有連接互聯(lián)網(wǎng)的工作站是安全的。

“只要有一臺(tái)脆弱的電腦連接到互聯(lián)網(wǎng)，就能提供進(jìn)入……在企業(yè)網(wǎng)絡(luò)中，高級(jí)惡意軟件可以擴(kuò)散，感染整個(gè)企業(yè)的電腦。

Pope還警告公司不要僅僅因?yàn)榈侥壳盀橹惯€沒(méi)有看到攻擊就認(rèn)為自己是安全的。

“這個(gè)補(bǔ)丁發(fā)布才兩周，還沒(méi)有蠕蟲(chóng)的跡象。這并不意味著我們已經(jīng)走出了困境。

“我們可能不會(huì)看到這個(gè)漏洞被整合到惡意軟件中。但這不是打賭的方式?！?/p>

他把這種相對(duì)平靜比作《永恒的藍(lán)色探索》(EternalBlue exploit)的出版和《想哭》(WannaCry)的爆發(fā)之間的兩個(gè)月。

隨著越來(lái)越多的演示代碼出現(xiàn)，以及黑客組織開(kāi)始學(xué)習(xí)如何充分利用這一漏洞，這些不常見(jiàn)的攻擊后來(lái)被壓制，永恒之藍(lán)成為了市場(chǎng)上最受歡迎的攻擊之一。

目前，發(fā)布在GitHub上的BlueKeep demo漏洞代碼并沒(méi)有人們想象的那么危險(xiǎn)，因?yàn)樗粫?huì)讓一個(gè)遠(yuǎn)程脆弱的系統(tǒng)崩潰，而不會(huì)執(zhí)行代碼。

然而，熟練的逆向工程師已經(jīng)能夠?qū)崿F(xiàn)遠(yuǎn)程代碼執(zhí)行，以證明他們拒絕發(fā)布的概念，因?yàn)樗麄兒ε掠|發(fā)下一次大規(guī)模的勒索軟件爆發(fā)。該列表包括Zerodium、McAfee、Kaspersky、Check Point、MalwareTech和Valthek。

現(xiàn)在有一個(gè)CVE-2019-0708的公共工作DoS PoC，如果你還沒(méi)有…如果你不喜歡呢?你不能在媒體面前哭訴2年后責(zé)怪NCSC導(dǎo)致你缺乏補(bǔ)丁…pic.twitter.com/a0d1jR23qb

不，已經(jīng)有好幾天了，他們只是不擅長(zhǎng)營(yíng)銷/垃圾郵件。

所有在github上發(fā)布假的/troll PoCs的人基本上都不可能找到真正的PoCs，除非你對(duì)這個(gè)bug有很好的了解。2019年，默默無(wú)聞的安全工作仍將發(fā)揮主導(dǎo)作用。