不明来源的嫌疑攻击者正大规模扫描易受远程桌面服务漏洞(CVE-2019-0708)影响的 Windows系统主机

2019年5月26日,据国际网络安全媒体ZDNET报道,网络安全威胁情报企业GreyNoise监测发现,有嫌疑攻击者正在互联网上大规模扫描受微软远程桌面服务漏洞(CVE-2019-0708)影响的Windows操作系统主机,可能正在为后续攻击活动做准备。由于嫌疑攻击者使用了Tor暗网匿名节点,尚无法确定嫌疑攻击者的真实来源。2019年5月14日,微软公司发布补丁修复了一个名为“BlueKeep”的远程桌面服务高危漏洞(CVE-2019-0708)。该漏洞影响包含Windows XP,Windows7,Windows2003,Windows2008和Windows2008R2等在内的常用Windows桌面以及服务器操作系统。当未经身份验证的攻击者使用远程桌面连接到目标系统并发送特制请求时,可以在目标系统中执行任意代码并劫持整个网络。该漏洞无需任何身份验证即可被远程利用,任何利用该漏洞的恶意软件都可在易受攻击的主机间相互传播,类似于2017年蔓延全球的“WannaCry”事件。自该漏洞发布至今,为避免黑客利用展开大规模攻击,目前尚无研究人员或安全公司发布此类漏洞的相关利用代码。据国外网络媒体报道,Zerodium、McAfee、Kaspersky、Check Point、MalwareTech和Valthek等一些安全公司已成功开发了BlueKeep漏洞的利用代码,但作保密处理。外媒称,威胁情报公司GreyNoise已于5月24日开始检测黑客的扫描活动,其创始人Andrew Morris表示,从Tor出口节点观察到有黑客正在扫描互联网寻找易受BlueKeep漏洞攻击的主机,很可能是为实际攻击做准备,表明该漏洞事件正逐步趋于恶化。虽然目前监测到的只是扫描活动,但鉴于目前已有6家安全公司透露已开发出BlueKeep漏洞的利用方法,并且至少可以在网上找到两篇非常详细的关于BlueKeep漏洞细节的文章,由此黑客们开发出自己的漏洞利用工具也只是时间问题。