互联网中发现近百万个系统易受到BlueKeep（CVE-2019-0708）攻击

大约有一百万台暴露在公网的设备易受到BlueKeep Windows漏洞的攻击，而且黑客已经准备好攻击它们了。

昨天我报告了GreyNoise专家发现的发现，有黑客在全球范围内寻找易受BlueKeep（CVE-2019-0708）漏洞影响的系统。

此次扫描是在2019年5月25日被首次发现，安全专家解释说，这是由一名未知的攻击者为了隐藏其身份，从暗网中发起的，。

Bad Packets研究人员还观察到其他与BlueKeep相关的扫描活动，大多数扫描的发起点来自荷兰，俄罗斯和中国。

此次扫描浪潮中涉及的漏洞被标记为CVE-2019-0708，它主要影响Windows的远程桌面服务（RDS），微软于2019年5月发布了安全补丁。值得注意的是，BlueKeep似乎可以被恶意软件作者用来创建具有WannaCry（勒索）功能的攻击软件。

正如微软所解释的那样，这个漏洞可以让攻击者在没有用户交互的情况下直接控制目标，从而使恶意软件迅速渗透到目标的内部网络中。

许多安全专家已经针对此漏洞开发了自己的漏洞利用代码，但均没有公开，原因可以说是很明显。

Microsoft已发布了适用于Windows 7，Server 2008，XP和Server 2003的安全补丁。Windows 7和Server 2008用户还可以通过启用网络级别身份验证（NLA）来防止漏洞的攻击，当然，你也可以直接关闭端口3389。

SANS研究所的专家观察到两个可公开获得的部分漏洞利用脚本。0day经纪公司Zerodium的创始人Chaouki Bekrar解释说，未经身份验证的用户可以利用该漏洞远程获取目标系统的SYSTEM权限。McAfee的研究人员也发布了一种PoC，或许可以利用它来开发攻击代码。

其他安全公司的专家也宣布已成功开发了BlueKeep的攻击脚本，包括卡巴斯基，Check Point和Malware Tech。

而在近期，知名安全专家Robert Graham已经对全球互联网上所有潜在的目标进行了扫描，他最终发现了超过923000个存在漏洞的系统，所使用的工具是masscan和修改后的rdpscan。

在用masscan扫描了几个小时后，专家就找到了7629102个运行着远程桌面的设备。

不过，Robert Graham同时也表示：“这个结果并不是很准确，大约只有一半是真正的远程桌面”。

“Masscan只能找到特定的开放端口，无法测试漏洞存在与否。远程桌面协议是一个很复杂的协议。在以前有一个安全测试项目，可以连接到一个IP地址并对其进行测试，以查看漏洞是否修补。我把那个项目进行了优化， rdpscan，然后用它来扫描masscan扫描出的结果。虽然它速度很慢，只有masscan的一千分之一，但它毕竟只是扫描masscan的结果，而不是整个互联网”。

最后扫描结果显示全球范围有923671个存在漏洞的系统，黑客可能在未来几周发动大规模攻击。

“结果是，测试证实大约有950000台存在漏洞的机器暴露在互联网上。黑客可能会在接下来的一两个月内把它和一个强大的漏洞组合起来，对这些目标进行深度攻击”。

以下是专家扫描的详细结果：

• 1447579 UNKNOWN - 接收超时
• 1414793 SAFE - 目标似乎已被修复
• 1294719 UNKNOWN - 重置连接
• 1235448 SAFE - 要求CredSSP/NLA
• 923671 VULNERABLE - 得到了appid
• 651545 UNKNOWN - FIN已收到
• 438480 UNKNOWN - 连接超时
• 105721 UNKNOWN - 连接失败9
• 82836 SAFE - 不是RDP而是HTTP
• 24833 UNKNOWN - 连接时重置连接
• 3098 UNKNOWN - 网络错误
• 2576 UNKNOWN - 连接已终止

总而言之，140多万台机器已经被修复，而且还有120万机器拒绝未经身份验证的连接。

对于网络管理员来说，及时打补丁是唯一一个确保安全的方法。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/86240/hacking/internet-scan-bluekeep.html