行业专家警告说,目前利用BlueKeep漏洞的攻击仍在持续,全球各地至少有上百万台计算机可能受到攻击。
今年5月,微软公司披露了一个严重的安全漏洞,该漏洞影响了个人电脑和服务器的各种旧版本windows操作系统。
该漏洞名为BlueKeep,它允许攻击者使用微软的远程桌面服务来攻击运行Windows、Windows XP、Windows 7、Windows Server 2003、Windows Server 2008等老旧版本操作系统,并且没有打过补丁的计算机。
微软公司将此漏洞的级别标记为“关键”,因为它为攻击者提供了几乎没有限制的系统访问权限,并且由于易于使用,这意味着它可以像WannaCry病毒那样快速传播。
Synopsys公司管理安全顾问Rehan Bashir表示,“如果这项技术被滥用,将会造成灾难性的影响。”
微软公司甚至采取了不寻常的措施,为不再提供支持的Windows操作系统版本(包括XP、Vista、Server 2003)发布最新补丁。
美国国家安全局和美国国土安全部网络安全和基础设施安全局对这一威胁都发布了相关警告。Tenable Network Security公司研究工程经理Scott Caveza说,“得到这样的关注并不常见,人们应该认真对待。”
他说,数据中心管理人员应该立即对所有计算机的操作系统进行修补。如果无法立即应用补丁,还应该启用网络级身份验证,这有助于抵御威胁。他说,数据中心运营商也可能希望在外围防火墙上阻止TCP端口3389。
他说:“这也是评估哪些服务在计算机上启用、禁用任何不必要的服务,以及确定数据中心中是否存在任何不受支持的操作系统版本的好时机。而现在还有很多未打补丁的计算机。”
Bitsight公司安全研究人员最近扫描了400万台可以公开访问的计算机,在微软公司发出初始警告并发布补丁一个月后,6月中旬仍有近100万台计算机易受攻击。大约160万台进行了修补,另外140万台状态未知。这只是面向公众的计算机。企业防火墙上可能还有其他未打补丁的计算机,虽然公共互联网不可见,但仍容易受到横向攻击。
Synopsys公司首席安全策略师Tim mackey表示,BlueKeep利用了现代数据中心的常见漏洞。他说,“远程访问是一项要求,传统操作系统的应用仍然比比皆是。”
他建议,数据中心运营人员运行网络扫描以确定运行远程桌面访问的活动系统。此外,应该检查和修补计算机Windows的虚拟机模板。
他还建议运行Windows 2000服务器的数据中心需要更加小心谨慎。
美国国土安全部警告称,Windows 2000操作系统易受BlueKeep攻击,并发布了一份咨询报告。
但微软公司尚未发布针对Windows 2000操作系统的补丁。因为对于Windows 2000操作系统的支持早在2010年结束。
不断发展的漏洞
一些安全研究人员已经找到了利用漏洞的方法,而网络攻击者也不甘落后。
例如,Sophos公司发布了一个视频,显示攻击者可以接管目标计算机,这将允许黑客自动化整个攻击链。
BTB Security公司顾问Humberto Gauna表示,现在是最脆弱的时刻。他说,“在60天之前,BlueKLeep正处于恶意行为者利用漏洞的成熟期。这个漏洞较新,可以在许多操作系统环境中运行,以至于那些没有修补的漏洞可以最大限度地加大网络攻击者造成的损害。”
SANS技术研究所研究主任Johannes Ullrich表示,网络攻击者采取公开攻击可能需要几天时间。但其发展是迅速的,他指出,“我认为其攻击时间不到一周的时间。”
已经有迹象表明,网络攻击者正在使用匿名Tor网络扫描互联网上的易受攻击的计算机。
安全研究机构GreyNoise Intelligence公司的产品经理Greg Wells说:“我们观察到BlueKeep扫描几乎完全来自Tor出口节点。但是,这项活动大约在两周前就停止了。我认为这些扫描是其潜在攻击的先兆,人们应采取相应的行动。”
他说,这意味着依赖于使用微软远程桌面服务的远程会话的数据中心,尤其是那些服务暴露在互联网上的数据中心,应该将BlueKeep漏洞视为一个非常严重的威胁。
他补充说,“鉴于BlueKeep漏洞有可能被当作蠕虫实现武器化,网络攻击者只需要利用网络中的一个易受攻击的系统,就可以传播到其他易受攻击的系统。”
解决方法和缓解措施
•运行扫描以识别需要修补的易受攻击的计算机(包括虚拟机和虚拟机模板),或者对Windows 2000操作系统进行更换或升级。
•尽快修补或升级所有易受攻击的操作系统,包括禁用远程桌面服务的操作系统。
•如果不需要,禁用远程桌面服务。
•在可用时启用网络级别身份验证。这可以使网络攻击者在利用漏洞之前难以在系统上拥有有效账户,这将增加一层保护措施。
•阻止远程桌面服务(TCP端口3389)在企业外围防火墙使用的端口,或限制对可信IP地址白名单的访问。
•使用安全虚拟专用网络连接到内部远程桌面服务服务器。
•向提供远程桌面服务的计算机添加多因素身份验证。
•基于常规用户与管理员对内部网络流量进行分段。
•确保常规用户无法在生产服务器上启动远程桌面服务。管理人员对生产系统的访问应该通过隔离的网络进程。
•配置Windows防火墙以防止常规用户在网段上的用户启动RDP连接或从非管理员接受它们。
•使Windows 2000机器脱机或采取其他步骤隔离,直到可以更换为止。