安全專家：BlueKeep攻擊程式「改良」後不再引發BSoD，危險性更高

安全專家近日表示，BlueKeep漏洞的概念驗證攻擊程式在「改良」下，已經不再引發藍色死亡螢幕（Bluescreen of Death，BSoD），將使攻擊效率更高。

月初安全專家Kevin Beaumont偵測到針對BlueKeep（CVE-2019-0708）漏洞的第一波攻擊，造成他的EnternalPot RDP誘捕系統近日除了澳洲區以外，各區的系統都出現藍色死亡螢幕。這波攻擊用的正是安全業者Rapid7打造的Metasploit攻擊測試框架，當中結合了RiskSense研究人員 Sean Dillon（推特代號zerosum0x0）貢獻的程式碼。

Dillon對媒體ZDNet表示，第一波BlueKeep攻擊造成的BSoD，基本上是他早期版程式碼的「臭蟲」，使Metasploit框架和Meltdown修補程式不相容，而無法讓攻擊者遠端存取受害系統。想要成功駭入系統，還需要加入程式碼來繞過微軟稱為KVA Shadow的Meltdown 修補程式。也就是說，系統有安裝該修補程式才會出現藍色死亡螢幕；出現BSoD反而表示BlueKeep攻擊並未成功，並且有助於安全人員提高警覺。

但Dillon說，他手上即將完成的新版程式碼經過改寫，已經可以克服這隻「臭蟲」，也就是說，未來的Metasploit框架將能進行更有效的攻擊，即使受害電腦安裝KVA Shadow修補程式。他預計本周新版Metasploit就會完成。

這也印證代號MalwareTech的安全專家Marcus Hutchins的隱憂。他說上星期第一波BlueKeep攻擊發生時，由於並非當初微軟擔心的蠕蟲，許多人以為這波攻擊沒什麼。但他認為這正是搞錯重點；他說BlueKeep攻擊程式的真正風險不在於是否為蠕蟲，BlueKeep漏洞讓攻擊者駭入伺服器，再利用自動化工具在內網為害，像是丟入勒索軟體。因此BlueKeep攻擊仍十分危險，不能掉以輕心。

根據系統管理與網路安全（SANS）協會研究人員Jan Kopriva的調查，企業修補BlueKeep漏洞速度還不夠快。他分析Shodan掃瞄網路上port 3389有回應的（即對網際網路開放，而可能遭受BlueKeep惡意程式攻擊）系統比例，顯示大約還有52萬台系統未修補。研究人員認為，雖然開放port 3389的比例逐月降低，但還沒低到不成為攻擊者目標的地步。