Windows RDP服务蠕虫级漏洞BlueKeep确认可被利用

安全研究员Valthek宣布他已经为BlueKeep漏洞（CVE-2019-0708）创建了一个漏洞利用代码。随后，迈克菲的高级首席工程师Christiaan Beek确认Valthek的概念验证代码（POC）可以用于恶意攻击，并要求用户尽快安装补丁。

1、漏洞详情

研究员发现微软的远程桌面服务中存在一个名为BlueKeep的漏洞，可能允许攻击者执行远程代码执行（RCE）并劫持整个网络。

微软公司在2019年5月14日对这个RCE漏洞进行了修补，并称该漏洞是“可疑的”，这意味着利用此漏洞的任何恶意软件都将可能从易受攻击的计算机之间互相传播，其方式与2017年蔓延全球的WannaCry恶意软件类似。该漏洞的严重程度高达9.8分（满分10分）。

微软发布补丁公告

2、BlueKeep漏洞可利用

最初是由0-day收集平台Zerodium的创始人Chaouki Bekrar发现，BlueKeep漏洞无需任何身份验证即可被远程利用。

“我们已经确认微软近期修补的Windows Pre-Auth RDP漏洞（CVE-2019-0708）可被恶意利用。在没有身份验证的情况下，攻击者可以远程操作，并获得Windows Srv 2008、Win 7、Win 2003、XP上的SYSTEM权限。启用NLA可在一定程度上缓解漏洞。最好马上打补丁，”Bekrar发推文表示。

随后，上文提及的安全研究员Valthek宣布他能够为漏洞创建漏洞利用代码：

“我获知了CVE-2019-0708漏洞，编程了对应的POC。这种漏洞非常危险，出于这个原因，我不会对任何人或任何企业透露此POC。”

尽管验证代码和更多技术细节没有发布，但迈克菲的高级首席工程师Christiaan Beek确认Valthek的概念验证代码（POC）可以用于恶意攻击，并要求用户尽快安装补丁。Beek说这个漏洞与远程桌面协议（RDP）有关，他建议用户在不需要使用时禁用。作为进一步的预防措施，他建议削减直接RDP访问并限制内部使用。

英国国家网络安全中心（NCSC）私下向微软报告了CVE-2019-0708，目前还没有任何公开证据发现它被在野开发利用。

声明：本文来自MottoIN，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。