安全专业人士敦促在进入的蓝色漏洞领先
Microsoft敦促IT团队快速行动,以确保针对蓝色未经身份验证的远程代码漏洞来保护关键的Windows系统。
这是在安全研究员凯文博福音观察到由2019年11月2日的Metasploit渗透测试框架的蓝色利用模块造成的蜜罐,这表明现在正在野外被利用。
蓝色keew,也称为CVE-2019-0708,并且已被描述为潜在的漏洞作为Wannacry的漏洞,影响Windows 7,Windows Server 2008和Windows Server 2008 R2上的远程桌面服务。
成功部署,它将允许攻击者运行代码,让他们完成几个目标,包括安装自己的软件程序并创建具有完整管理权的用户帐户。自2019年5月份修补周二以来,贴片已经获得,但是,预测性地,数以万计的系统仍未被删除。
微软表示,它的研究人员增加了与远程桌面协议(RDP)相关的崩溃增加,可能与不稳定的蓝色MetaSploit模块相连,因为在9月6日发布时,在9月6日发布时,内存损坏崩溃的增加10月9日。
它指出,它已经部署了蓝色MetaSploit模块的行为检测,因此其后卫ATP产品的用户应该受到它的保护,而Beaumont观察到它攻击他的蜜罐网络。但是,这并不意味着威胁已经过去了。
“安全信号和法医分析表明,蓝色MetaSploit模块在某些情况下造成崩溃,但我们无法折扣可能导致更有效的攻击的增强功能,”微软的后卫ATP研究团队突出了蓝色守平的发展状况。
“此外,虽然没有其他验证的攻击涉及勒索软件或其他类型的恶意软件,但是,蓝色爆炸可能会用于提供比硬币矿工更有影响和破坏的有效载荷。”
这是对Microsoft发现的9月硬币挖掘活动的引用,该活动联系了10月蓝色护士Metasploit广告系列中使用的相同命令和控制基础架构。如果这种利用不会导致系统崩溃,则观察到安装硬币矿工。微软表示,9月份攻击可能会发起作为易受互联网的RDP服务的机器的港口扫描。
发现一旦发现,攻击者使用蓝色MetaSploit模块运行一系列PowerShell脚本,最终导致硬币矿工下载。有效载荷主要在法国和俄罗斯看到,而且在英国,这是托管托管控制的服务器似乎所在的英国。
“只要系统仍然没有被咬合,”蓝色待遇将是一个威胁,没有实现凭证卫生,并且整体安全姿势不会被支票,“微软说。
“鼓励客户立即识别和更新易受攻击的系统。许多这些未划分的设备可能是供应商和其他第三方放置的未解压的RDP设备,以偶尔管理客户系统。
“因为在不留下明显迹线的情况下可以剥削蓝色守护人员,客户还应该彻底检查可能已经被感染或妥协的系统。”