虽然其他安全研究人员过去已经发布了明确的BlueKeep概念验证代码,但该漏洞已经足够先进,可以在远程系统上实现代码执行,信息安全专家评论Metasploit模块告诉ZDNet。
什么是BLUEKEEP?
BlueKeep,也称为CVE-2019-0708,是旧版Windows操作系统(Windows XP,Windows 2003,Windows 7,Windows Server 2008和Windows Server 2008 R2)中远程桌面协议(RDP)服务中的漏洞)。
微软在5月14日发布的2019年5月修补程序周二安全修复程序中修补了BlueKeep,并警告用户尽快应用修补程序。
当时为了刺激用户加快修补,操作系统制造商将BlueKeep描述为一种“易受攻击”的漏洞,可以类似于EternalBlue漏洞帮助WannaCry勒索软件在2017年传播到数百万台计算机的方式进行自我传播。
自从它被公之于众以来,网络安全社区一直在集体呼吁释放第一个武器化的BlueKeep漏洞,担心它可能以同样的方式被滥用并帮助推动全球恶意软件爆发。
微软一再告诉用户应用补丁,甚至美国国家安全局(NSA),美国国土安全部,德国BSI网络安全机构,澳大利亚网络安全中心和英国国家网络安全中心都发布了安全措施警告敦促用户和公司修补旧版Windows。
各种网络安全公司和安全研究人员已经开发出BlueKeep漏洞利用程序,但所有人都拒绝发布代码,担心其后果。
今年7月,当一家名为Immunity Inc.的网络安全公司开始出售私人BlueKeep漏洞时,信息安全社区遭遇了第一次恐慌。然而,该漏洞仍然是私密的,从未泄露。
新的BLUEKEEP METASPLOIT模块
但是今天,开源Metasploit框架背后的网络安全公司Rapid7发布了一个BlueKeep漏洞作为Metasploit模块,可供所有人使用。
与过去几个月在GitHub上传的数十个BlueKeep概念验证漏洞不同,该模块可以实现代码执行。
但是,Metasploit模块已经有些贬值。目前它只能在“手动”模式下工作,这意味着它需要用户交互才能正确执行。
Metasploit运营商必须向其提供一个参数,其中包含有关他们想要定位的系统的信息。这意味着漏洞利用不能以自动方式用作自我传播的蠕虫,但可用于针对性的攻击。
例如,获得公司网络访问权限的黑客组可以逐个系统地部署它,如果有足够的时间可用,最终会逐个攻击所有附近的工作站。
此外,BlueKeep Metasploit模块也只适用于64位版本的Windows 7和Windows 2008 R2,但不适用于其他易受BlueKeep攻击的Windows版本。这一小事实也缩小了其对犯罪努力的可能用途,尽管它并不排除它。
700,000个系统仍然脆弱
今天发布了一个模块,安全专家预计不会立即看到恶意软件活动或黑客攻击。
就像其他一切一样,即使是黑客也常常会有学习曲线,因为他们习惯了工具。
毫无道理,当黑帽子习惯了模块时,仍然会有很多易受攻击的系统。这是因为尽管已经有将近四个月的时间来修补BlueKeep漏洞,但大多数用户和公司都未能应用微软的补丁。
根据BinaryEdge扫描,仍有700,000个系统容易受到互联网上暴露的BlueKeep的影响,并且可能还有数百万个防火墙网络。