黑客正大规模扫描易受 Bluekeep 漏洞影响的 Windows 系统

Bluekeep漏洞最近扫描的源网络（图源：GreyNoise）

  黑客们已经开始扫描网上易受RDP高危漏洞（CVE-2019-0708）（又名：BlueKeep）攻击的Windows系统。该漏洞影响包含 Windows XP，Windows 7，Windows 2003，Windows 2008等在内的常用Windows桌面以及服务器操作系统。微软将此漏洞划分为严重级别，并于5月19日发布了补丁，强烈建议广大用户及时更新，以免遭受攻击。

  目前还没有成熟的PoC

  在过去两周里，infosec社区一直密切关注攻击迹象、可以简化RDP漏洞利用以及后续攻击的PoC代码的发布。到目前为止，没有研究人员或安全公司发布此类漏洞的利用代码。原因显而易见，它可以帮助黑客展开大规模攻击。一些公司已经成功开发了Bluekeep漏洞的利用，但打算保密。 这些公司包括：Zerodium，McAfee，Kaspersky，Check Point，MalwareTech和Valthek。

  NCC集团制定了网络安全设备的检测规则，以便公司可以检测到任何开发利用；Opatch开发了一个补丁，可以临时保护系统直到收到官方更新；RiskSense的安全研究员Sean Dillon还创建了一个工具，用来查看电脑是否正确地修复了BlueKeep漏洞。

  Bluekeep扫描始于周末

  周六，威胁情报公司GreyNoise开始检测黑客的扫描活动。其创始人Andrew Morris表示，攻击者正在使用RiskSense检测到的Metasploit模块扫描互联网，来寻找易受BlueKeep漏洞攻击的主机。他周六发推说：“仅从Tor出口节点观察到此活动，其可能由一个黑客执行。”

  目前，这些只是扫描，不是实际的利用尝试。然而，至少有一个黑客投入了相当多的时间和精力来编制易受攻击的设备列表，为实际的攻击做准备。至少有6家公司透露已开发出BlueKeep漏洞的利用，并且至少可以在网上找到两篇非常详细的关于BlueKeep漏洞细节的文章[1,2]，所以黑客们开发出自己的利用方式也只是时间问题。

  GreyNoise目前看到的源于Tor的扫描表明事情正趋于恶化。