行業專家警告說,目前利用BlueKeep漏洞的攻擊仍在持續,全球各地至少有上百萬臺計算機可能受到攻擊。
今年5月,微軟公司披露了一個嚴重的安全漏洞,該漏洞影響了個人電腦和服務器的各種舊版本windows操作系統。
該漏洞名為BlueKeep,它允許攻擊者使用微軟的遠程桌面服務來攻擊運行Windows、Windows XP、Windows 7、Windows Server 2003、Windows Server 2008等老舊版本操作系統,并且沒有打過補丁的計算機。
微軟公司將此漏洞的級別標記為“關鍵”,因為它為攻擊者提供了幾乎沒有限制的系統訪問權限,并且由于易于使用,這意味著它可以像WannaCry病毒那樣快速傳播。
Synopsys公司管理安全顧問Rehan Bashir表示,“如果這項技術被濫用,將會造成災難性的影響。”
微軟公司甚至采取了不尋常的措施,為不再提供支持的Windows操作系統版本(包括XP、Vista、Server 2003)發布最新補丁。
美國國家安全局和美國國土安全部網絡安全和基礎設施安全局對這一威脅都發布了相關警告。Tenable Network Security公司研究工程經理Scott Caveza說,“得到這樣的關注并不常見,人們應該認真對待。”
他說,數據中心管理人員應該立即對所有計算機的操作系統進行修補。如果無法立即應用補丁,還應該啟用網絡級身份驗證,這有助于抵御威脅。他說,數據中心運營商也可能希望在外圍防火墻上阻止TCP端口3389。
他說:“這也是評估哪些服務在計算機上啟用、禁用任何不必要的服務,以及確定數據中心中是否存在任何不受支持的操作系統版本的好時機。而現在還有很多未打補丁的計算機。”
Bitsight公司安全研究人員最近掃描了400萬臺可以公開訪問的計算機,在微軟公司發出初始警告并發布補丁一個月后,6月中旬仍有近100萬臺計算機易受攻擊。大約160萬臺進行了修補,另外140萬臺狀態未知。這只是面向公眾的計算機。企業防火墻上可能還有其他未打補丁的計算機,雖然公共互聯網不可見,但仍容易受到橫向攻擊。
Synopsys公司首席安全策略師Tim mackey表示,BlueKeep利用了現代數據中心的常見漏洞。他說,“遠程訪問是一項要求,傳統操作系統的應用仍然比比皆是。”
他建議,數據中心運營人員運行網絡掃描以確定運行遠程桌面訪問的活動系統。此外,應該檢查和修補計算機Windows的虛擬機模板。
他還建議運行Windows 2000服務器的數據中心需要更加小心謹慎。
美國國土安全部警告稱,Windows 2000操作系統易受BlueKeep攻擊,并發布了一份咨詢報告。
但微軟公司尚未發布針對Windows 2000操作系統的補丁。因為對于Windows 2000操作系統的支持早在2010年結束。
不斷發展的漏洞
一些安全研究人員已經找到了利用漏洞的方法,而網絡攻擊者也不甘落后。
例如,Sophos公司發布了一個視頻,顯示攻擊者可以接管目標計算機,這將允許黑客自動化整個攻擊鏈。
BTB Security公司顧問Humberto Gauna表示,現在是最脆弱的時刻。他說,“在60天之前,BlueKLeep正處于惡意行為者利用漏洞的成熟期。這個漏洞較新,可以在許多操作系統環境中運行,以至于那些沒有修補的漏洞可以最大限度地加大網絡攻擊者造成的損害。”
SANS技術研究所研究主任Johannes Ullrich表示,網絡攻擊者采取公開攻擊可能需要幾天時間。但其發展是迅速的,他指出,“我認為其攻擊時間不到一周的時間。”
已經有跡象表明,網絡攻擊者正在使用匿名Tor網絡掃描互聯網上的易受攻擊的計算機。
安全研究機構GreyNoise Intelligence公司的產品經理Greg Wells說:“我們觀察到BlueKeep掃描幾乎完全來自Tor出口節點。但是,這項活動大約在兩周前就停止了。我認為這些掃描是其潛在攻擊的先兆,人們應采取相應的行動。”
他說,這意味著依賴于使用微軟遠程桌面服務的遠程會話的數據中心,尤其是那些服務暴露在互聯網上的數據中心,應該將BlueKeep漏洞視為一個非常嚴重的威脅。
他補充說,“鑒于BlueKeep漏洞有可能被當作蠕蟲實現武器化,網絡攻擊者只需要利用網絡中的一個易受攻擊的系統,就可以傳播到其他易受攻擊的系統。”
解決方法和緩解措施
•運行掃描以識別需要修補的易受攻擊的計算機(包括虛擬機和虛擬機模板),或者對Windows 2000操作系統進行更換或升級。
•盡快修補或升級所有易受攻擊的操作系統,包括禁用遠程桌面服務的操作系統。
•如果不需要,禁用遠程桌面服務。
•在可用時啟用網絡級別身份驗證。這可以使網絡攻擊者在利用漏洞之前難以在系統上擁有有效賬戶,這將增加一層保護措施。
•阻止遠程桌面服務(TCP端口3389)在企業外圍防火墻使用的端口,或限制對可信IP地址白名單的訪問。
•使用安全虛擬專用網絡連接到內部遠程桌面服務服務器。
•向提供遠程桌面服務的計算機添加多因素身份驗證。
•基于常規用戶與管理員對內部網絡流量進行分段。
•確保常規用戶無法在生產服務器上啟動遠程桌面服務。管理人員對生產系統的訪問應該通過隔離的網絡進程。
•配置Windows防火墻以防止常規用戶在網段上的用戶啟動RDP連接或從非管理員接受它們。
•使Windows 2000機器脫機或采取其他步驟隔離,直到可以更換為止。
