- A+
随着工作漏洞信息开始上市,人们对WannaCry级全球攻击的担忧也在增加。
“巨型蠕虫”全球BlueKeep感染的梦魇视野可能更接近现实,因为工作漏洞现在可供公众使用,并且有证据表明对手正在积极扫描漏洞。
研究人员在Threatpost中讨论了企业如何能够阻止关键的Windows远程代码执行(RCE)漏洞,即使即时修补过于庞大。
漏洞利用出现
作为背景,BlueKeep漏洞(CVE-2019-0708)RCE缺陷存在于远程桌面服务中并影响旧版本的Windows,包括Windows 7,Windows XP,Server 2003,Server 2008和Server 2008 R2。 使BlueKeep与众不同的主要原因在于它可以使用 - 因此它可以在机器之间自我传播,为WannaCry级别,快速移动的感染波设置场景。
根据安全公司Sophos的5月分析 ,“BlueKeep是一个免费使用后的漏洞,意味着程序试图在丢弃它之后使用内存”。 “漏洞在于termdd.sys,它是RDP内核驱动程序。 用户可以通过打开与称为频道的远程计算机的RDP连接来利用此功能 - 在这种情况下是一个名为MS_T210的默认RDP频道 - 并向其发送特制数据。
安全研究人员表示,创建漏洞一直很困难,经常导致崩溃和DoSing目标机器而不是RCE。 然而,一些人已经能够创造工作利用(包括国土安全部 ),但为了保护公众,他们对细节保持沉默。
上周,当一个漏洞通过安全公司出售时,这种情况发生了变化,该安全公司允许攻击者在受感染的计算机上远程运行代码,然后创建一个使用RDP来利用其他计算机而无需任何人工交互的蠕虫。
Immunity Inc.通过Twitter表示,它已经在其CANVAS自动化开发平台上添加了一个可用的BlueKeep漏洞利用模块,该平台可作为订阅使用(尽管每月费用昂贵):
Immunity的母公司Cyxtera的CTI公司的Dave Aitel通过电子邮件表示,该公司决定发布这一漏洞,因为“对于组织来说,了解他们的实际风险并确定他们的防御是否能有效地保护他们是非常重要的。”
当被问及为什么在工具中使用完整的RCE而不仅仅是扫描仪来查找易受攻击的系统时,他补充道,“我们的目标是帮助客户解决他们的风险问题。 这不只是关于BlueKeep - 总会有另一个漏洞出现并让您面临风险。 许多现代系统对网络流量或端点行为分析进行异常检测,以捕获像BlueKeep这样的漏洞。 测试这些类型的系统需要有效的RCE漏洞。 同样地,简单地向上层管理人员进行演示“这是我们黑客入侵我们的系统”是红队的一个常见用途,因为他们会收集更换或升级系统的支持。 最终目标应该是解决整个风险问题,而不是关注任何单一漏洞。“
他说开发漏洞需要大约两个月的时间,并且“它一直在变得越来越稳定。”该公司计划定期更新它。
同时,据Sophos的研究人员称 ,在GitHub上,至少有两个地方出现了详细描述可行漏洞的概念验证代码。 首先,发布了一系列声称解释如何利用此漏洞的中文幻灯片。 然后,一位研究人员发布了一个适用于Windows XP的Python PoC(但可能会崩溃Windows 7或Server 2008机器,他说)。 Sophos说后者的帖子不包括可执行的shellcode有效载荷,但是这些信息足以帮助威胁演员在开展现实世界的活动的道路上令人不安。
Intezer公司同时发现坏人开始积极扫描漏洞。
研究人员上周解释说: “我们发现了一个新版本的WatchBog--一个自2018年末以来的加密货币挖掘僵尸网络 - 我们怀疑自6月初开始的新活动中已有超过4,500台Linux机器遭到破坏。” “在新的Linux漏洞利用中,这个版本的WatchBog实现了一个BlueKeep RDP协议漏洞扫描器模块,这表明WatchBog正在准备一份易受攻击的系统列表,以便将来定位或出售给第三方供应商以获取利润。”
根据BitSight安全研究主管Dan Dahlberg的说法,总体而言,BlueKeep广告开始出现在野外的转折点似乎越来越早。
“对这些未修补系统的威胁正在继续增长,恶意行为者和安全社区成员所实现的里程碑表明,使用此漏洞的可利用性障碍正在继续减少,”他告诉Threatpost。 “未修补的系统不仅对运营它们的组织构成威胁,而且对与其开展业务的第三方,组织和最终用户构成威胁。 不幸的是,随着漏洞利用开发的升级以及我们一直在观察的补救模式,我们可能看不到在这些系统之前广泛应用补丁而其他系统最终会受到损害。“
补丁慢慢推出
CVE-2019-0708的补丁出现在5月 。 BlueKeep的关注度非常大,以至于微软甚至采取了不寻常的步骤,将补丁部署到Windows XP和Windows 2003,这些补丁已经过时,不再受到计算巨头的支持。 它还发布了多个后续建议,敦促管理员进行修补。 但是,修补过程进展缓慢。
截至7月2日,根据该公司最近的状态更新 ,大约有805,665个系统仍然在线,容易受到BlueKeep的攻击 - 低于5月的100万。
与5月31日相比,敏感系统的数量减少了17.18%(167,164个系统),其中92,082个系统仍然是外部暴露的,已经修补。 这意味着每天平均减少5,224个暴露的易受攻击的系统,在修补,脱机和更换它们之间。
研究人员表示,安全工作进展不够快。
“从面向互联网的端点开始受到攻击的时间非常短暂,”NuData Security DevOps主管Justin Fox对Threatpost说道。 “虽然微软已经发布了针对BlueKeep的补丁,但组织推出的速度却很慢。 组织需要更快地做出反应来修补漏洞 - 与软件相关的问题并不新鲜。“
Digital Shadows安全工程主管Richard Gold告诉Threatpost,修补问题有几个根本原因。
“我已经与我们的一些客户交谈,他们遇到的一个主要问题就是找到所有易受攻击的机器,”他说。 “然后,其次,是将这些机器脱机以进行修补的问题,特别是在没有热备用的情况下,可以用来覆盖主要的二级系统。”
福克斯表示,还有其他补丁机制,包括典型的缓解网络技术。
“类似于基于VPN的保护,如果端点必须面向互联网,使用RADIUS(多因素身份验证)保护它并使用防火墙软件来限制或限制流量访问是至关重要的,”他说。 “这些技术甚至可以应用于仅限内部的VDI端点,从而减轻内部威胁。 AWS提供了这些缓解措施,并且软件架构师或工程师可以使用易于访问的服务来构建其VDI解决方案。“
Coalfire副总裁Mike Weber告诉Threatpost,系统远离面向网络是一个很好的第一步。
“我们敦促各组织在计划补丁时,至少阻止来自互联网的RDP访问,”他告诉Threatpost。
但是,他强调,由于漏洞的可疑方面,修补不是可选的。
“这不仅仅是影响互联网暴露系统的问题,”他强调说。 “修补内部系统对于保护您的业务至关重要。 将代码传递到网络中的工作站是一项微不足道的任务 - 它始终通过网络钓鱼攻击发生。 如果攻击者将此漏洞利用打包到旨在搜索易受攻击的系统并利用这些攻击的网络钓鱼有效负载中,则可能会导致整个企业受到攻击。 公司必须从以前的大型示例中学习,例如NotPetya,修补是任何安全计划的重要组成部分。“
对补丁管理更感兴趣? 不要错过我们免费的 Threatpost网络研讨会 ,“ 简化补丁管理”,现在可以按需提供。 请加入Threatpost编辑Tom Spring和一个补丁专家小组讨论补丁管理的最新趋势,如何为您的企业找到合适的解决方案以及在部署程序时面临的最大挑战。 点击这里收听(需要注册)。