Windows RDP漏洞或已被駭客用於攻擊了

自從微軟兩周前公布Windows RDP協議的重大漏洞後，安全專家已於本周一發現有駭客開始大規模掃描網路上有漏洞的Windows系統，顯示可能發動攻擊。而多家安全廠商也製作出概念驗證攻擊程序。

編號CVE-2019-0708的漏洞存在於舊版Windows遠端桌面服務（Remote Desktop Service，RDS）中，本漏洞可使未授權攻擊者得以利用RDP連上目標系統傳送惡意呼叫。成功的漏洞利用者可在遠端執行任意程序、安裝惡意軟體、讀取或刪改數據、或新開具完整許可權的用戶帳號。

本漏洞的CVSS Score v3風險評分皆為重大等級的9.8分（滿分10分），微軟強烈建議用戶應儘速安裝修補程序。除了Windows 8和Windows 10系統外，從Windows XP及Server 2003，到Windows 7、Windows Server 2008 及2008 R2都受影響，微軟還例外對XP及Server 2003釋出了補丁。這項漏洞也被稱為「BlueKeep」。

雖然微軟說尚未探測出實際的攻擊，不過安全廠商GreyNoise本周發現網路上有數十台主機，可針對BlueKeep漏洞進行大規模掃描。據觀察到的掃描行為全是來自Tor網路的出口節點，判斷是由單一組織或個人所為。

GreyNoise創辦人Andrew Morris對此指出，他相信攻擊者用的是滲透測試工具Metasploit模組來掃描BlueKeep漏洞主機。雖然掃描不代表一定是攻擊行動，但這極可能是駭客攻擊的前兆。

【此前已有卡巴斯基、McAfee及CheckPoint等安全廠商，宣稱已經開發出BlueKeep的概念驗證（PoC，Proof of Concept）攻擊工具。主持MalwareTech的資安研究人員（及前駭客）Marcus Hutchins也表示，他只花了一小時搞清楚怎麼攻擊，4天就寫出PoC攻擊程序。因此安全專家也呼籲用戶及早安裝修補程序。】

調查區域：企業小調查(點擊預覽可查看效果)

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！