引發 BSoD 的BlueKeep漏洞攻擊,造成系統崩潰的原因

BleKeep

安全研究人員Kevin Beaumont和Marcus Hutchins的報告披露了最近會在被入侵裝置上安裝虛擬貨幣挖礦病毒的BlueKeep漏洞攻擊。Beaumont在11月初注意到他用來偵測和監視BlueKeep漏洞攻擊的蜜罐系統一直在崩潰。調查崩潰原因後證實這是因為Metasploit滲透測試框架的BlueKeep漏洞攻擊模組所造成。蜜罐系統出現的藍色死亡螢幕當機畫面- blue screen of death (BSOD )讓 Beaumont 發現了真實攻擊的存在。

透過對這些事件的調查,Microsoft發現十月下旬的攻擊與九月的一波攻擊活動有所關聯 – 這些攻擊可能都是由同個駭客團體所進行。這引發了會有更多攻擊出現的關注和警告。BlueKeep是會影響Windows 7、Windows Server 2008和Windows Server 2008 R2上遠端桌面協定(RDP)服務的遠端執行碼漏洞。Microsoft已經在五月加以修補。Microsoft一直敦促管理員要修補RDP服務來幫助防禦此漏洞遭受攻擊。

BlueKeep造成系統崩潰的原因和修復

如前所述,Beaumont的BlueKeep蜜罐系統一直在崩潰並重新啟動。漏洞攻擊會不斷造成BSOD崩潰,顯示其並不穩定。微軟的進一步調查顯示BlueKeep漏洞攻擊有人為操作來協助滲透網路,意思是此惡意軟體並非會自行散播的蠕蟲病毒。擴散能力是BlueKeep漏洞攻擊在九月首次披露時引起研究人員關心的問題。Microsoft認為攻擊者可能使用手動端口掃描來找出有漏洞的電腦。

根據安全研究人員Sean Dillon,會造成BSOD是因為漏洞攻擊碼與Microsoft針對Meltdown Intel CPU漏洞所發布的修補程式不相容。但已經有計劃會更新Metasploit的BlueKeep漏洞攻擊碼來支援Meltdown的核心修補程式。不幸的是,這代表了攻擊者有更大的機會去攻擊有漏洞的系統 – 他們可以使用更加穩定的漏洞攻擊碼,不會因為引起BSOD而那麼容易被察覺。

安全問題和建議

正如Hutchins所強調的,BlueKeep最緊迫的問題並不是蠕蟲病毒。真正該關心的是伺服器是否會遭受攻擊。大多數會遭受BlueKeep漏洞攻擊的電腦其實都是伺服器,而被入侵的伺服器讓攻擊者能夠輕易地在內部網路轉進和擴散。他指出Windows伺服器通常會控制網路上的其他電腦,可能是有安裝網路管理工具的網域管理員或是會跟網路其餘電腦共享相同的本地管理員帳密。

遺憾的是,即使出現了BlueKeep攻擊密罐系統的報導,系統管理員仍然沒有動力去進行修補。SANS Institute的研究人員一直在透過Shodan追踪修補率,並注意到自五月以來修補率就一直呈下降趨勢。最近關於攻擊事件的媒體報導並沒有改變此一趨勢。

底下是能夠幫助使用者和企業減少遭受BlueKeep漏洞攻擊風險的最佳實作:

  • 修補並保持系統及應用程式在最新狀態(或在老舊及終止支援系統上採用虛擬修補技術)。
  • 遠端桌面服務加以限制或防護。例如封鎖端口3389(或在不使用時將其停用)有助於阻止惡意威脅與防火牆背後系統進行連線。
  • 啟用網路級身份驗證(NLA),防止未經身份驗證的攻擊者攻擊BlueKeep漏洞。可以在Windows 7和Windows Server 2008(包括R2版本)內設定
  • 強制執行最小權限原則。採用如加密、鎖定策略及其他基於權限或角色的存取控制等安全機制來提供多一層的安全防護,防止會入侵遠端桌面服務的攻擊或威脅。

趨勢科技Deep Discovery進階網路安全防護  和 Vulnerability Protection HYPERLINK 漏洞防護解決方案能透過下列深度封包檢測(DPI)規則來保護系統和使用者抵禦針對漏洞CVE-2019-0708的威脅:

  • 1009749 – Microsoft Windows Remote Desktop Services Remote Code Execution Vulnerability

趨勢科技TippingPoint的客戶可以用下列MainlineDV過濾器來抵禦攻擊漏洞CVE-2019-0708的威脅:

  • 35296: RDP: Microsoft Remote Desktop Services Negotiation Request Without CredSSP

@原文出處:BlueKeep Exploit Will Get an Update Following Recent Attacks