Windows RDP漏洞PoC攻擊程式問世,疑似有駭客開始掃瞄

微軟在兩周前公佈Windows RDP協定重大漏洞後,安全專家發現(5月27日)已經有駭客開始大規模掃瞄網路上有漏洞的Windows系統,顯示可能發動攻擊。而多家安全廠商也製作出概念驗證攻擊程式。

編號CVE-2019-0708的漏洞存在於舊版Windows遠端桌面服務(Remote Desktop Service,RDS)中,本漏洞可使未授權攻擊者得以利用RDP連上目標系統傳送惡意呼叫。成功開採者可於遠端執行任意程式碼、安裝惡意程式、讀取或刪改資料、或新開具完整權限的用戶帳號。

本漏洞的CVSS Score v3風險評分皆為重大等級的9.8分(滿分10分),微軟強烈建議用戶應儘速安裝修補程式。除了Windows 8和Windows 10系統外,從Windows XP及Server 2003,到Windows 7、Windows Server 2008 及2008 R2都受影響,微軟還例外對XP及Server 2003釋出修補程式。這項漏洞也被稱為BlueKeep。

雖然微軟說尚未看到有攻擊情形,不過安全廠商GreyNoise本周發現網路上有數十臺主機,針對BlueKeep漏洞進行大規模掃瞄。安全公司觀察到掃瞄行動全是來自Tor網路的出口節點,判斷是由單一組織或人士所為。

GreyNoise創辦人Andrew Morris對此指出,他相信攻擊者用的是滲透測試工具Metasploit模組來掃瞄BlueKeep漏洞主機。雖然掃瞄不代表一定是攻擊行動,但這極可能是駭客攻擊的前兆。

在此之前,已經有卡巴斯基McAfeeCheckPoint等安全廠商,宣稱已經開發出BlueKeep的概念驗證(PoC,Proof of Concept)攻擊工具。主持MalwareTech的資安研究人員(及前駭客)Marcus Hutchins也表示,他只花了一小時搞清楚怎麼攻擊,4天就寫出PoC攻擊程式。安全公司也呼籲用戶及早安裝修補程式。

原文來自 iThome Online