微软Defender ATP研究小组表示,在11月2日检测到的BlueKeep攻击,与9月份的一次挖矿活动有关,他们均使用相同的C&C模式。
BlueKeep(CVE-2019-0708)是一个严重的安全问题,它是一个未经身份验证的远程代码执行漏洞,该漏洞会影响Windows 7、Windows Server 2008和Windows Server 2008 R2上的远程桌面服务,无需用户操作就可以使恶意软件在连接的系统之间相互传播。
微软Defender ATP研究小组发现了此问题,就敦促用户及时安装应用补丁,因为未来还会有更多有害攻击, BlueKeep漏洞很可能将用于植入挖矿工具,给设备带来的危害更具破坏性。
微软在推特上表示: “我们与研究界一致认为CVE-2019-0708(BlueKeep)的开采规模可能很大。因此要立即查找并修补那些无保护的RDP服务。”
微软安全研究人员发现,9月初的时候,挖矿活动使用了一种植入物,该植入物与10月份BlueKeep Metasploit活动所使用的C&C相同,在该漏洞没有引起系统崩溃的情况下,也有人观察到安装了采矿机。
这表明,这两次挖矿活动可能是由相同的攻击者负责,他们一直在不懈的进行网络挖矿,并最终将BlueKeep漏洞纳入他们的武器库。
微软的研究人员还证实,该BlueKeep活动使用了9月份针对Metasploit渗透测试框架发布的漏洞利用模块,就像安全研究人员 Marcus Hutchins在分析研究人员Kevin Beaumont从其EternalPot RDP蜜罐网络收集的崩溃转储时所发现的那样。
微软在法国、俄罗斯、意大利、西班牙、乌克兰、德国、英国和其他国家/地区的系统上发现了这次攻击中提供的挖矿有效载荷,这些攻击针对通过端口扫描发现具有面向互联网的RDP服务的机器。
攻击者利用了易受攻击的RDP服务,然后下载并执行了一些混淆的PowerShell脚本,这些脚本将网络挖矿作为最终的有效负载,并创建了一个持久性的任务。
Redmond的安全研究团队认为,这些攻击中使用的BlueKeep Metasploit模块也会导致崩溃。一些漏洞攻击表明,只要系统未安装补丁,且未对总体安全态势进行控制,BlueKeep就会成为巨大威胁。
Microsoft提供了一个威胁分析报告,该报告由安全运营团队使用Microsoft Defender Advanced Threat Protection生成,同时调查其组织中的BlueKeep威胁。另外,美国网络安全和基础架构安全局(CISA) 于6月发布了BlueKeep缓解措施清单, 并敦促Windows管理员和用户查看 Microsoft BlueKeep安全通报 和CVE-2019-0708的 Microsoft客户指南以了解更多信息。
本文翻译自:https://www.bleepingcomputer.com/news/security/microsoft-warns-of-more-harmful-windows-bluekeep-attacks-patch-now/ 与 https://www.bleepingcomputer.com/news/security/australian-govt-warns-of-active-emotet-and-bluekeep-threats/如若转载,请注明原文地址: https://www.4hou.com/vulnerable/21480.html