美国国土安全部(DHS)的网络犯罪应急响应小组在确认Windows管理员可用于在易受攻击的PC上远程执行代码后,修补此可感染的BlueKeep漏洞,并警告Windows管理员。
美国政府的网络安全和基础架构安全局(CISA)已针对可能破坏性漏洞的安全性提出了正式警报,该漏洞影响从Windows 2000到Windows 2008的多个Windows版本中的远程桌面协议(RDP)服务。
微软认为CVE-2019-0708(现在称为BlueKeep)是如此严重,以至于它甚至发布了不受支持的Windows XP的补丁程序-自WannaCry于2017年中在全球造成严重破坏以来,从未采取过此措施。
该漏洞已由英国国家网络安全中心在5月补丁程序星期二更新之前报告给微软,该组织是英国间谍机构GCHQ的组织,负责改善国家在公共和私营部门的网络安全防御。
微软发布了针对XP的补丁程序,因为它相信BlueKeep的蠕虫功能(自动从一台易受攻击的计算机传播到另一台计算机的能力)可以在与WannaCry相同的全球规模的攻击中加以利用,后者的蠕虫功能由泄漏的NSA漏洞EternalBlue启用。 SMBv1文件共享协议。
NSA也担心BlueKeep。本月初,它敦促管理员修补该漏洞并更改配置,以防止潜在的攻击。它的警告是根据研究发现,至少有100万台Windows计算机仍然容易受到BlueKeep的攻击。美国国家安全局表示,袭击可能只是时间问题。
当前,BlueKeep没有公开可用的漏洞利用代码。但是,一些组织声称已经为其开发了漏洞,包括Zerodium,McAfee,Kaspersky,Check Poin t,MalwareTech和Valthek。
CISA周一证实,它已经 在Windows 2000 PC上成功利用了BlueKeep。该机构尚未测试其他受影响的Windows版本。
它说:“ CISA在Windows 2000计算机上测试了BlueKeep,并实现了远程代码执行。此活动警报中未提到的Windows 8之前的Windows OS版本也可能会受到影响;但是,CISA尚未测试这些系统。”
但是,CISA从此不再使用该声明,而是将其原始声明替换为:“ CISA与外部利益相关者进行了协调,并确定Windows 2000容易受到BlueKeep的攻击。”
但是,它的建议(如NSA和Microsoft)保持不变:应用Microsoft的May修复程序来修复RDP BlueKeep错误。同样,它建议启用网络级别身份验证(NLA),这可以使组织免受即将来临的BlueKeep攻击。它建议阻止TCP端口3389,该端口用于启动RDP会话。
如果出现了公开的BlueKeep攻击或民族国家的黑客私下开发了一个并决定使用它,那么潜在的影响可能与WannaCry完全不同。
该恶意软件严重破坏了欧洲的组织,最主要的是英国国家卫生局(NHS)面临1.25亿美元的WannaCry法案,被迫取消19,000个约会,然后花费50万英镑用于承包商,以在攻击后恢复数据。
此外,由于怀疑有俄罗斯国家支持的黑客组织ShadowBrokers,在Microsoft补丁发布后仅一个月就提供了公共漏洞利用代码。
安全公司BitSight 在6月中旬进行了一次互联网扫描,以查找容易受到BlueKeep攻击的系统。它也发现了大约一百万台易受攻击的计算机,但是在中国,只有不到50%的计算机已打补丁,因此BlueKeep受到的威胁最大。
到目前为止,中国拥有世界上最容易受到BlueKeep攻击的计算机,约占百万台易受攻击计算机的三分之一。其次是美国,但美国超过75%的计算机已打补丁。
看来欧洲已经从WannaCry和随后的EternalBlue推动的NotPetya爆发中吸取了教训。英国,荷兰,德国,法国已对裸露的RDP主机上超过75%的系统进行了修补。
与中国处于同一阶段的国家(包括少于50%的计算机)对韩国进行了补丁,而俄罗斯,印度,巴西和意大利的补丁率在50%至75%之间。