自從 BlueKeep 漏洞被公開後,研究人員從不同方向對它進行研究,最近就有測試成功利用遠端執行代碼的安全漏洞,只需要 22 秒就取得受害者裝置的控制權,連 NSA 也預計該漏洞大爆發只是時間問題。
22 秒取得 Windows Server 2008 控制權
一名研究人員利用 Metasploit 模型進行 BlueKeep 的概念測試,並成功顯示取得目標 Windows 裝置的控制權。該名研究人員在 Twitter 上表示,由於模型內容會為未補丁的系統帶來嚴重威脅,所以暫時不會向外公開,不過他發放了一條影片示範通過 Windows Server 2008 的 RCE (remote code-execution) 漏洞,配合 Mimikatz 工具收集登入資料,在大約 22 秒就成功取得系統控制權。
繼較早前的概念測試後,這次包含了收集登入資料的功能,這個元素有助攻擊者繞過網絡等級認證保護。由於測試的內容太危險,研究人員只考慮當第一次爆發「超級蠕蟲」後才公開資料。
NSA 估計大爆發只是時間問題
BlueKeep 安全漏洞影響 Windows 7、Windows XP、Windows Server 2003、Windows Server 2008 和 Windows Vista,它能成為蠕蟲攻擊的部份,做成 WannaCry 等級的快速裝置到裝置感染效果,事件嚴重到 Microsoft 為已停止支援的 Windows XP、Windows Vista 和 Windows Server 2003 系統提供補丁 (用戶需手動安裝)。據研究人員表示,這次的測試在大部份有漏洞的裝置上都能運作,除了 Windows Server 2003,但只要再花時間,就能克服這個問題。
除了 Microsoft 認為 BlueKeep 漏洞非常危險外,美國國家安全局 (NSA) 也相當關注事件,並認為現時是工程師之間的競賽,但估計 BlueKeep 的大爆發只是時間問題,憂慮會利用它散播加密勒索和其他漏洞工具,提高未補丁系統的破壞能力。
生產線上的裝置更新需較長時間
可惜在較早前的文章已寫過,現時至少仍有超過 100 萬台裝置未進行補丁,由於不少舊裝置被用在生產線上,把這些裝置離線進行補丁並非易容易的事,NSA 更警告實際上可能高達數百萬裝置未裝補丁。而除了以上的測試外,漏洞也可以被用作 DoS 攻擊,Microsoft 警告只要企業網絡一台漏洞電腦連接互聯網,惡意程式就可能做到傳播和感染企業內所有電腦的效果。
資料來源:Threat Post
