SecurityWeek外国メディアの報道は、ほぼ100万のデバイスセキュリティリスクBlueKeepリスクの高い脆弱性があり、ハッカーはすでに潜在的なターゲットのスキャンを開始しましたしました。脆弱性CVE-2019から0708までの番号、Windowsのリモートデスクトップサービス(RDS)に存在する、今月の月例パッチで、日本と中国の活動が修正されました。
脆弱性は(wormable)ワーム型として記述され、2017年の方法に類似の悪意のあるプログラムは、WannaCryのランサムウェアを荒廃スプレッドRDSサービスを利用することができます。既に匿名のハッカーが任意のコードを実行するために、この脆弱性を悪用しようとすると、特別に細工されたリモートデスクトッププロトコル(RDP)を送信するための要求は、ユーザーとの対話を必要とせずにコンピュータを制御することができます。
Microsoftは現在、Windows 7、Windows Server 2008では、Windows XPでは、Windows Server 2003のパッチに適用をリリースしました。Windows 7およびWindows Server 2008のユーザは、ネットワークレベル認証(NLA)を有効にすることで、認証されていない攻撃を防ぐことができ、また、TCPポート3389をブロックすることにより脅威を軽減します。
多くの専門家はBlueKeepサイバー攻撃に基づいて見つけることができますが、ない成熟したPoCはありません。
元々リモート悪用することができる任意の認証の脆弱性なしChaouki Bekrarが見出さ0日プラットフォームZerodiumの創設者、BlueKeepによって集め。
「私たちは、Microsoftが最近、Windowsプレ認証RDPの脆弱性(CVE-2019から0708)は、悪質な使用可能性パッチを適用していることが確認されている。認証がない場合には、攻撃者がリモートからWindowsのSRV 2008、勝利7、勝利を操作して取得することができますXP 2003、SYSTEM権限。ある程度の脆弱性を軽減することができNLAを有効にします。最高のプレーがすぐにパッチを適用、「Bekrarのつぶやき表現。
土曜日、脅威インテリジェンス会社がハッカーの活性を検出するためにスキャンを開始GreyNoise。その創始者、アンドリュー・モリスは、攻撃者が脆弱なホストBlueKeepエクスプロイトを見つけるために、検出されたインターネットRiskSenseをMetasploitのモジュールをスキャンして使用していると述べました。彼は土曜日につぶやい、言った:「Torの出口ノードのみがハッカーによって実行することができるこの活動を、観察します。」
現在、これらはただではない実際に使用しようとする、スキャンされています。しかし、少なくとも一つのハッカーが実際の攻撃を準備するために、脆弱なデバイスのリストをコンパイルするためにかなりの時間と労力を投資しているがあります。ハッカーが独自の方法時間の問題を開発するために使用するようにBlueKeepの使用は、抜け穴を開発し、少なくともインターネットの脆弱性のBlueKeep詳細上の2件の非常に詳細な記事を見つけることができ開示する少なくとも6つの企業があります。
写本:cnBeta