微软再发通告:提醒你更新系统以防蠕虫病毒
随着BleepKeep漏洞蓝屏poc代码的炸裂,我就知道该升级第三弹了。
注:BleepKeep即远程桌面服务远程代码执行漏洞CVE-2019-0708的英文名称
前两弹
当然炸裂的除了安全从业人员,还有当妈的微软:在今日再次发布了预警。
提醒你升级系统以防蠕虫病毒(我也是这么想的)
https://blogs.technet.microsoft.com/msrc/2019/05/30/a-reminder-to-update-your-systems-to-prevent-a-worm/
通告内容大致如下(有修正):
5月14日,微软发布了远程桌面服务(以前称为终端服务)中的远程执行代码漏洞CVE-2019-0708的修复程序,该漏洞影响了某些旧版本的Windows。
在我们以前的博客文章就这个话题,我们警告说,该漏洞会造成“蠕虫攻击”,利用此漏洞的恶意软件将来会从易受攻击的计算机,以类似在2017年在全球范围内的WannaCry传播的恶意软件的方式传播给易受攻击的计算机。
微软认为,有一个该漏洞的利用工具存在着,并且下面这个报告是正确的,将近一百万台计算机直接连接到互联网,并且仍然容易受到CVE-2019-0708的漏洞攻击。
https://blog.erratasec.com/2019/05/almost-one-million-vulnerable-to.html
而中小企业内网中可能存在更多的易受攻击的设备。而一旦有一台存在该漏洞计算机可以在内网中连接外网,那么将会通过远程桌面服务进行内网随意漫游,那将会是一个巨大的风险,并且先进的恶意软件可以传播,并感染整个企业的计算机。
对于那些未使用最新补丁程序更新其内部系统的人来说,这种情况可能更糟,因为任何未来的恶意软件也可能会尝试进一步利用已经修复的漏洞。
自修复发布以来只有两周时间,并且还没有任何蠕虫迹象。这并不意味着我们已经走出了困境。
如果我们查看WannaCry攻击开始前的事件,它们可以告知未及时应用此漏洞的修复程序的风险。
我们的建议保持不变。我们强烈建议所有受影响的系统应尽快更新。
微软为了强调此次事件的严重性,甚至说了下面这句话。
我们可能不会将此漏洞纳入恶意软件。
并再次强调:不是为了打赌不会出现利用该漏洞的蠕虫病毒。
当然,如果出现了bluekeep蠕虫病毒,微软肯定是会加检测规则,但那会估计已经尸壕遍野了。
微软为了再次提醒人们更新系统的重要性,还发布了“永恒之蓝”漏洞的发展时间线。
EternalBlue时间线
在发布针对EternalBlue漏洞的修复程序和勒索软件攻击开始之间差不多两个月。尽管有将近60天的时间来修补他们的系统,但许多客户却没有。
这些客户中有相当一部分被勒索软件感染。
2017年3月14日: Microsoft发布安全公告MS17-010,其中包含针对一组SMBv1漏洞的修复程序。
2017年4月14日: ShadowBrokers公开发布一系列漏洞利用程序,包括利用这些SMBv1漏洞的可疑漏洞,称为“EternalBlue”。
2017年5月12日: EternalBlue漏洞被用于称为WannaCry的勒索软件攻击。全球数十万台易受攻击的计算机受到感染。
这也同样说明,微软已经认为蠕虫是必然会出现,并且在出现了今天的蓝屏POC代码后,将大大缩小攻击者制造EXP的成本,或者说攻击者已经手握EXP而并没有轻举妄动,等待蠕虫病毒的完成再进行投放。
因此请务必转给你的家人,亲戚,圈外朋友阅读,要知道,许多做安全的人,反而家里人的电脑往往没有进行补丁更新。
下面为受影响的系统版本补丁下载链接:
Windows 7,Windows 2008 R2和Windows 2008 的补丁下载的链接
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
Windows Vista,Windows 2003和Windows XP的下载链接
https://support.microsoft.com/help/4500705
今日的蓝屏POC(仅用于测试)
https://github.com/n1xbyte/CVE-2019-0708/
下面是最近的漏洞分析文章合集,想要深入研究的可以好好看看。
麦咖啡版本分析(全局简单分析版):
https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability-cve-2019-0708/
zerosum0x0版本(偏扫描器版):
https://zerosum0x0.blogspot.com/2019/05/avoiding-dos-how-bluekeep-scanners-work.html
zerodayinitiative版本(推荐阅读,很详细):
https://www.zerodayinitiative.com/blog/2019/5/27/cve-2019-0708-a-comprehensive-analysis-of-a-remote-desktop-services-vulnerability
国内中文版的几则漏洞分析:
ADLab
https://mp.weixin.qq.com/s/5WRJUPgPXU2Ja_R6pRPh_g
千里目
https://mp.weixin.qq.com/s/8FrgKsN0JdWnfSazAUL9wg
https://mp.weixin.qq.com/s/wha1wAk6I8ca4v-G_FKkPw
当妈的都这么着急了,你们就赶紧转发,回应一下微软吧!
<上期看点>
<扫码漏点>
黑鸟威胁情报中心,只做最正确的情报,不传谣不信谣,欢迎持续关注。
点击菜单栏,扫码加入每日更新的知识星球(原价299,现价269)
由于黑鸟已经去不了美国了,因此来看看美国嘴脸吧。
重磅!中国决定建立不可靠实体清单制度
5月31日,商务部在北京举行专题新闻发布会。
商务部新闻发言人高峰宣布,根据相关法律法规,中国将建立“不可靠实体清单”制度,对不遵守市场规则,背离契约精神,出于非商业目的,对中国企业实施封锁或断供,严重损害中国企业正当权益的外国企业、组织或个人将列入不可靠实体清单。具体措施将于近期公布。
欢迎再看看
加油提升自己吧,乱世中成长。