互联网扫描发现近百万个系统容易受到BlueKeep的攻击

大约有一百万台设备容易遭受利用BlueKeep Windows漏洞的攻击，而且黑客已经准备好攻击它们了。 

昨天我报告了GreyNoise专家发现的发现，该发现检测到易受BlueKeep（CVE-2019-0708）漏洞影响的系统的扫描。 

扫描首次在2019年5月25日被发现，专家解释说，一名威胁演员从Tor网络发射它们以隐藏其身份。

Bad Packets研究人员还观察到与BlueKeep相关的扫描活动 ，大多数请求来自荷兰，俄罗斯。和中国。

该漏洞被追踪为CVE-2019-0708，它影响了Windows远程桌面服务（RDS），并且由微软于2019年5月发布补丁周二更新。

BlueKeep是一个易受攻击的漏洞，可被恶意软件作者利用来创建具有WannaCry功能的恶意代码。
正如微软所解释的那样，这个漏洞可能被具有可疑功能的恶意软件利用，它可以在没有用户交互的情况下被利用，从而使恶意软件可以以不受控制的方式传播到目标网络中。 

许多安全专家已经 针对此问题开发了自己的漏洞利用代码，但没有公开披露，原因很明显。 

Microsoft已发布适用于Windows 7，Server 2008，XP和Server 2003的修补程序.Windows 7和Server 2008用户可以通过启用网络级别身份验证（NLA）来防止未经身份验证的攻击，并且还可以通过阻止TCP端口3389来缓解威胁。 

SANS研究所的专家 观察到了 两个可公开获得的部分漏洞。零日经纪公司Zerodium的创始人Chaouki Bekrar解释说，未经身份验证的用户可以远程利用该漏洞来获取具有SYSTEM权限的设备。迈克菲的研究人员开发了一种 PoC漏洞 ，可以利用它来获取远程代码。 

其他专家还宣布已成功开发BlueKeep的攻击，包括 卡巴斯基， Check Poin和 MalwareTech。 

现在，受欢迎的专家罗伯特·格雷厄姆已经在互联网上扫描了易受攻 他使用发现了超过923,000潜在的易受攻击的设备 masscan 端口扫描器和修改后的版本 rdpscan，
执行初始扫描 masscan 历时 几个小时，让专家找到运行远程桌面的所有设备，大约7,629,102个结果。 

“但是，那里有很多垃圾都会在这个港口做出回应。只有大约一半是远程桌面。“ 格雷厄姆解释道。
“Masscan 只要 认定开放端口，但不够复杂，无法检查漏洞。远程DesKTop是一个复杂的协议。

发布了一个项目，可以连接到一个地址并对其进行测试，以查看它是否已修补或弱势。

我接受了那个项目并对其进行了优化， rdpscan，然后用它来扫描结果 masscan。它慢了一千倍，但它只扫描结果masscan 而不是整个互联网。“
扫描显示有923,671个潜在易受攻击的系统，可能黑客将在未来几周发动大规模攻势。

 “结果是，这些测试证实大约有950,000台机器在公共互联网上，容易受到这个漏洞的攻击。

黑客可能会在接下来的一两个月内找到一个强大的漏洞，并对这些机器造成严重破坏。“格雷厄姆说。

以下是专家进行扫描的详细结果：

• 1447579 UNKNOWN – 接收超时
• 1414793 SAFE – 目标似乎已修补
• 1294719 UNKNOWN – 通过对等方重置连接
• 1235448 SAFE – 要求CredSSP / NLA 
• 923671 VULNERABLE – 得到了appid 
• 651545 UNKNOWN – FIN收到了
• 438480 UNKNOWN – 连接超时 
• 105721 UNKNOWN – 连接失败9
• 82836 SAFE – 不是RDP而是HTTP 
• 24833 UNKNOWN – 连接时重置连接   
• 3098 UNKNOWN – 网络错误   
• 2576 UNKNOWN – 连接已终止

总而言之，已经修补了140多万台机器，并拒绝了120万台设备 未经验证 连接。

让我们关闭确认可用性 micropatch对于0patch  专家发布的BlueKeep漏洞，管理员可以部署该漏洞来保护永远在线的服务器