据报道,近一百万个系统易受BlueKeep(CVE-2019-0708)的攻击,这是远程桌面服务中的关键漏洞。 微软的五月补丁星期二已经发布了BlueKeep补丁,并发布了安全公告来帮助用户解决该漏洞。 其他供应商也为需要持续运行或无法重新启动的关键任务系统和服务器(例如ATM)发布了自己的补丁程序。
该估计是基于对BlueKeep易受攻击的公共访问系统的互联网扫描得出的。 勘误安全公司的罗伯特·格雷厄姆(Robert Graham)使用扫描工具来搜索其端口3389(默认情况下使用远程桌面协议(RDP)使用)公开的设备。 过滤搜索结果后,Graham发现了大约950,000个面向BlueKeep的面向互联网的系统。
BlueKeep影响Windows Server 2008和Windows 7以及支持终止的Windows Server 2003和Windows XP。
[InfoSec指南:远程桌面协议(RDP)]
鉴于BlueKeep带来的重大安全风险,因此成为头条新闻。 首先,利用BlueKeep不需要用户交互。 BlueKeep也是“可蠕虫的”,这意味着利用此漏洞的威胁可以传播,类似于攻击者使用EternalBlue漏洞通过臭名昭著的WannaCry和Petya / NotPetya感染系统的方式。
对于像BlueKeep这样的关键和备受关注的漏洞,这是一场与时间的竞赛。 尽管没有关于活跃的,野生的攻击的报告,但是攻击者将BlueKeep漏洞纳入其恶意软件只是时间问题。 实际上,Graham的报告是在最近发生的有关异常活动的消息之后发布的,安全研究人员观察到,这些异常活动正在积极地扫描互联网,查找容易受到BlueKeep攻击的Windows系统。 安全研究人员已经拿出了概念证明,并演示了可利用的漏洞,尽管有一部分。
[阅读:通过下一代入侵防御来增强网络外围防御能力
机会主义攻击者和网络罪犯经常使用组织暴露于漏洞中的窗口来破坏其网络和与其连接的系统。 以下是一些最佳实践,可以帮助用户和企业减少对可能利用BlueKeep进行威胁的威胁: 修补并保持系统及其应用程序的更新(或对旧版或报废系统进行虚拟修补)。 限制或保护远程桌面服务的使用。 例如,阻止端口3389(或在不使用端口时将其禁用),可以帮助阻止威胁启动与防火墙后面的系统的连接。 启用网络级别身份验证(NLA),以防止未经身份验证的攻击者利用BlueKeep。 可以在Windows 7和Windows Server 2008(包括R2版本)中进行配置。 强制执行最小特权原则。 采用诸如加密,锁定策略以及其他基于权限或角色的访问控制之类的安全机制,可以提供额外的安全层,以防止涉及破坏远程桌面的攻击或威胁。
趋势科技™趋势科技服务器深度安全防护系统和漏洞防护解决方案通过此深度数据包检查(DPI)规则保护系统和用户免受针对CVE-2019-0708的威胁: 1009749-Microsoft Windows远程桌面服务远程执行代码漏洞
Trend Micro™TippingPoint®客户受到保护,免受可能通过此MainlineDV过滤器利用CVE-2019-0708的威胁和攻击: 35296:RDP:没有CredSSP的Microsoft远程桌面服务协商请求 趋势科技根据我们自己对潜在利用漏洞的额外保护分析得出了一些规则/过滤器。 但是请注意,如果没有真正的,狂野的利用,这种性质的规则或过滤器的有效性可能会有所不同,因此不应视为唯一的保护来源。 强烈建议客户在可能的情况下应用Microsoft补丁,和/或应用建议的其他建议的缓解策略。 我们的安全警报提供了有关趋势科技解决方案如何防范此漏洞的更多信息。
自PDT于2019年8月15日上午9点更新,以包含有关趋势科技解决方案如何防止上述漏洞的更多信息。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢