情境圖,Photo by Michael Aleo on https://unsplash.com/photos/-iwfoH55O9o

安全研究人員警告又名BlueKeep的Windows 遠端桌面協定(remote desktop protocol,RDP)漏洞在發現半年後後,已經有人用來發動第一波攻擊,引發藍色死亡螢幕(blue screen of death,BSOD)。

今年5月微軟警告Windows終端服務存在編號CVE-2019-0708的漏洞,或稱BlueKeep。本漏洞可使攻擊者利用RDP連上目標系統,傳送改造過的呼叫,藉此執行任意程式碼、安裝惡意程式、讀取或刪改資料、或新開具完整權限的用戶帳號。作為預先驗證(pre-authentication)漏洞,BlueKeep可讓蠕蟲繁殖(wormable),從一臺有漏洞的電腦複製自我擴散到其他電腦上,有如WannaCry。9月間一家安全廠商將BlueKeep加入Metasploit測試框架,可用於駭入BlueKeep漏洞。受影響的作業系統包括Windows 7、Windows Server 2008 及2008 R2,及已經終止支援的Windows XP及Server 2003。

在此之前僅有可疑的網路掃瞄行動,不過現在攻擊行動來真的。安全專家Kevin Beaumont近日發現他的EnternalPot RDP誘捕系統近日除了澳洲區以外,各區的系統都出現藍色死亡螢幕。攻擊首次出現在10月23日。系統紀錄顯示2周來發生2,600萬次事件、發出66次警告。在此之前,這些系統安裝防毒、系統監控、組態管理等軟體,僅僅對網際網路開放port 3389,但6個月以來皆運行順暢。

曾經解決WannaCry、又名MalwareTech的天才駭客Marcus Hutchins分析證實 ,這是第一批BlueKeep攻擊。

所幸,這第一次BlueKeep攻擊並未像之前微軟擔心的會自我複製、擴散。分析顯示,這隻惡意程式並非蠕蟲,而疑似駭客利用早先公佈的BlueKeep Metasploit框架的shell code,針對有BlueKeep漏洞的系統發動攻擊,旨在植入Monero挖礦軟體。但是開採BlueKeep並不容易,一定會引發BSOD以致於駭客行動並未如預期發生。研究人員猜測,可能是這次的駭客不具備修改Metasploit概念驗證程式碼的能力。

ZDNet指出,這次只是駭客界第一次嘗試大規模攻擊BlueKeep,而非只對特定伺服器下手。未來仍然有更多駭客不斷嘗試,像是在受害系統中植入挖礦軟體。

雖然微軟2度發出警告,美國政府也發出呼籲應儘速修補漏洞,但安全廠商BitSight估計,截至7月底仍有超過78萬台系統仍未修補。


Advertisement

更多 iThome相關內容