今年5月,微软公布了一个严重的安全漏洞,该漏洞影响了台式机和服务器的许多旧版Windows。
该漏洞称为BlueKeep,它允许攻击者使用Microsoft的远程桌面服务来攻击运行旧版Windows,Windows XP,Windows 7,Windows Server 2003和Windows Server 2008的未修补计算机。
微软将此漏洞标记为“关键”,因为它为攻击者提供了几乎无限制的系统访问权限,并且因为它“易于使用”,这意味着它可以像WannaCry那样传播。
Synopsys的管理安全顾问Rehan Bashir表示,“如果受到攻击,这种影响将是灾难性的。”
微软甚至采取了不寻常的步骤,为不再支持的Windows版本(包括XP,Vista和Server 2003)发布补丁。
美国国家安全局和国土安全部的网络安全和基础设施安全局都发布了有关威胁的警告。
“这种关注程度并不常见,应该认真对待,”Tenable Network Security研究工程经理Scott Caveza说。
他说,数据中心经理应立即修补所有系统。如果无法立即应用修补程序,组织应启用网络级别身份验证,这有助于防范威胁。
他说,数据中心也可能希望在外围防火墙上阻止TCP端口3389。
“这也是评估在主机上启用哪些服务并禁用任何不必要的服务以及确定数据中心中是否存在任何不受支持的操作系统版本的好时机,”他说。
那里还有很多未打补丁的机器。
在BitSight的安全研究人员最近扫描的四百万台可公开访问的机器中,在微软敲响了最初警告和发布补丁一个月后,六月中旬仍有近百万人仍然容易受到攻击。修补了大约160万台机器; 其他140万的状况不明。
这仅涵盖面向公众的系统。企业防火墙上可能还有其他未打补丁的机器,公共互联网不可见,但仍容易受到横向攻击。
Synopsys首席安全策略师Tim Mackey表示,BlueKeep利用了现代数据中心的常见漏洞。“远程访问是一项要求,遗留系统比比皆是,”他说。
他建议数据中心操作员运行网络扫描以确定运行远程桌面访问的活动系统。此外,应该检查和修补Windows机器的虚拟机模板,他说。
他还建议运行Windows 2000机器的数据中心需要小心。
美国国土安全部警告称,Windows 2000易受BlueKeep攻击,并发布了一份咨询报告。
但微软尚未发布针对Windows 2000的补丁。对Windows 2000的支持于2010年结束。
一些安全研究人员已经找到了利用漏洞的方法,所以坏人也不会落后。
例如,Sophos发布了一个视频,显示攻击者可能接管目标计算机,这将允许黑客自动化整个攻击链。
BTB Security的顾问Humberto Gauna说,现在是最脆弱的时刻。
“在60天之前,BlueKLeep正处于恶意行为者利用漏洞的成熟时期,”他说。“这个漏洞已经足够新,可以在许多环境中取消修补,而且足够老,以至于那些没有修补的漏洞可能在IT流程方面相当不成熟 - 这可以最大限度地发挥不良行为者所能造成的损害。”
根据SANS技术研究所研究主任约翰内斯乌尔里希(Johannes Ullrich)的说法,攻击者公开攻击可能需要几天时间。但他的发展很活跃,他在7月8日写道,“我认为你不会超过一周。”
已经有迹象表明攻击者正在使用匿名Tor网络扫描互联网上的易受攻击的机器。
安全研究公司GreyNoise Intelligence的产品经理格雷格威尔斯说:“我们观察到BlueKeep扫描,几乎完全来自Tor出口节点。但是,这项活动大约在两周前就停止了。” “我认为我们应该假设这些扫描是潜在攻击的先兆,并据此采取行动。”
这意味着依赖于使用微软远程桌面服务的远程会话的数据中心,特别是如果他们将这些服务暴露在互联网上,应该认为BlueKeep是一个非常严重的威胁,他说。
“鉴于BlueKeep可能被武器化为蠕虫,攻击者只需要利用网络中的一个易受攻击的系统,然后传播到其他易受攻击的系统,”他补充说。
解决方法和缓解措施
- 运行扫描以识别需要修补的易受攻击的计算机(包括虚拟机和虚拟机模板),或者在Windows 2000的情况下,更换或升级。
- 尽快修补或升级所有易受攻击的系统,包括禁用远程桌面服务的系统。
- 如果不需要,请禁用远程桌面服务。
- 启用网络级别身份验证。这要求攻击者在利用漏洞之前在系统上拥有有效帐户,这将增加一层保护。
- 阻止远程桌面服务(TCP端口3389)在企业外围防火墙使用的端口,或限制对可信IP地址白名单的访问。
- 使用安全虚拟专用网络连接到内部远程桌面服务服务器
- 将多因素身份验证添加到提供远程桌面服务的计算机
- 基于常规用户和管理员划分内部网络流量。
- 确保常规用户无法在生产服务器上启动远程桌面服务。管理员对生产系统的访问应该通过隔离的网络进程。
- 配置Windows防火墙以防止常规用户在网段上的用户启动RDP连接或从非管理员接受它们
- 使Windows 2000计算机脱机或采取其他步骤隔离它们直到可以更换它们。
资料来源:Tenable,GreyNoise,Synopsys,BTB Security,Microsoft,DHS
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。