安全業者Rapid7打造的Metasploit攻擊測試框架,當中結合了RiskSense研究人員 Sean Dillon(推特代號zerosum0x0)貢獻的程式碼。這個開源測試框架中嵌入針對舊版Windows遠端桌面服務缺陷所打造的攻擊程式,固然可能遭駭客利用,但Metasploit管理方Rapid7認為,此舉對防禦方來說是利大於弊。

安全專家近日表示,BlueKeep漏洞的概念驗證攻擊程式在「改良」下,已經不再引發藍色死亡螢幕(Bluescreen of Death,BSoD),將使攻擊效率更高。

月初安全專家Kevin Beaumont偵測到針對BlueKeep(CVE-2019-0708)漏洞的第一波攻擊,造成他的EnternalPot RDP誘捕系統近日除了澳洲區以外,各區的系統都出現藍色死亡螢幕。這波攻擊用的正是安全業者Rapid7打造的Metasploit攻擊測試框架,當中結合了RiskSense研究人員 Sean Dillon(推特代號zerosum0x0)貢獻的程式碼。

Dillon對媒體ZDNet表示,第一波BlueKeep攻擊造成的BSoD,基本上是他早期版程式碼的「臭蟲」,使Metasploit框架和Meltdown修補程式不相容,而無法讓攻擊者遠端存取受害系統。想要成功駭入系統,還需要加入程式碼來繞過微軟稱為KVA Shadow的Meltdown 修補程式。也就是說,系統有安裝該修補程式才會出現藍色死亡螢幕;出現BSoD反而表示BlueKeep攻擊並未成功,並且有助於安全人員提高警覺。

但Dillon說,他手上即將完成的新版程式碼經過改寫,已經可以克服這隻「臭蟲」,也就是說,未來的Metasploit框架將能進行更有效的攻擊,即使受害電腦安裝KVA Shadow修補程式。他預計本周新版Metasploit就會完成

這也印證代號MalwareTech的安全專家Marcus Hutchins的隱憂。他說上星期第一波BlueKeep攻擊發生時,由於並非當初微軟擔心的蠕蟲,許多人以為這波攻擊沒什麼。但他認為這正是搞錯重點;他說BlueKeep攻擊程式的真正風險不在於是否為蠕蟲,BlueKeep漏洞讓攻擊者駭入伺服器,再利用自動化工具在內網為害,像是丟入勒索軟體。因此BlueKeep攻擊仍十分危險,不能掉以輕心。

根據系統管理與網路安全(SANS)協會研究人員Jan Kopriva的調查,企業修補BlueKeep漏洞速度還不夠快。他分析Shodan掃瞄網路上port 3389有回應的(即對網際網路開放,而可能遭受BlueKeep惡意程式攻擊)系統比例,顯示大約還有52萬台系統未修補。研究人員認為,雖然開放port 3389的比例逐月降低,但還沒低到不成為攻擊者目標的地步。


Advertisement

更多 iThome相關內容