高手已开发出 BlueKeep RCE PoC，微软再发打补丁警告

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

微软再次向企业发出修复 Windows 老旧版本的警告。这些 Windows 机器的远程桌面协议 (RDP) 中包含一个严重漏洞，可遭远程滥用，而且微软认为和造成 WannaCry、NotPetya和“坏兔子”勒索软件攻击的“永恒之蓝”可相提并论。

更糟糕的是，过去几天内已经出现了利用该漏洞（BlueKeep 或 CVE-2019-0708）的有限的PoC 代码。

微软影响响应中心 MSRC 的事件响应总监 Simon Pope 表示，“微软认为这个漏洞的利用代码已存在，如果近期报告准确的话，那么近100万台和互联网直接相连的计算机易受 CVE-2019-0708漏洞的影响。”

扫描易受 BlueKeep 漏洞影响的计算机的活动大概已经持续了一周，而且扫描活动越来越多。微软因此在实际攻击爆发前再次发出警告。

目前已经为易受攻击的Windows 版本即 Windows XP、Windows Vista、Windows 7、Windows Server 2003 和 Windows Server 2008 已发布补丁。

5月14日，微软在5月份的补丁星期二中首次发出打补丁警告。当时该漏洞被认为较危险，因为它不但可导致远程执行，而且它还是蠕虫式病毒（即具有自我复制能力）。

Pope 表示，“我们的建议还是一样。我们强烈建议所有受影响系统尽快更新。”

他还警告称，不能认为和互联网不连接的工作站就是安全的，“只需要连接到互联网的易受攻击的一台计算机提供进入企业网络的一个潜在网关即可，从而导致高级恶意软件传播，感染企业内部的计算机。”

Pope 还警告称，企业认为自己是安全的，只是因为目前尚未出现攻击活动。他指出，“修复方案才发布两周的事件，目前尚未出现蠕虫，但这并不意味着我们就是安全的。很可能我们并未看到漏洞被集成到恶意软件中，但不应该在这个问题上存有侥幸心理。”

他认为这种相对平静的状态和“永恒之蓝”以及 WannaCry 勒索攻击爆发前的两个月的状态类似，这两种攻击活动的数量最初也是有限的。而随后，这些活动并不频繁的攻击活动之后越发越严重，而随着演示代码爆出而黑客组织开始了解如何最大程度地利用它之后，“永恒之蓝”成为市场上最受欢迎的利用之一。

目前，GitHub 上发布的BlueKeep 演示利用代码的危险性并不像人们以为的那样严重，因为它仅能导致远程易受攻击的系统崩溃，但无法执行代码。

然而，技术高超的逆向工程师们已经实现了远程代码执行的后果，不过因为担心会再次触发严重的勒索软件攻击，他们拒绝发布自己开发的 PoC 代码。这些高手来自 Zerodium、McAfee、卡巴斯基实验室、Check Point、MalwareTech 和 Valthek 公司等。

原文链接

https://www.zdnet.com/article/microsoft-issues-second-warning-about-patching-bluekeep-as-poc-code-goes-public/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。