行業(yè)專家警告說，目前利用BlueKeep漏洞的攻擊仍在持續(xù)，全球各地至少有上百萬臺計(jì)算機(jī)可能受到攻擊。

今年5月，微軟公司披露了一個(gè)嚴(yán)重的安全漏洞，該漏洞影響了個(gè)人電腦和服務(wù)器的各種舊版本W(wǎng)indows操作系統(tǒng)。

該漏洞名為BlueKeep，它允許攻擊者使用微軟的遠(yuǎn)程桌面服務(wù)來攻擊運(yùn)行Windows、Windows XP、Windows 7、Windows Server 2003、Windows Server 2008等老舊版本操作系統(tǒng)，并且沒有打過補(bǔ)丁的計(jì)算機(jī)。

微軟公司將此漏洞的級別標(biāo)記為“關(guān)鍵”，因?yàn)樗鼮楣�擊者提供了幾乎沒有限制的系統(tǒng)訪問權(quán)限，并且由于易于使用，這意味著它可以像WannaCry病毒那樣快速傳播。

Synopsys公司管理安全顧問Rehan Bashir表示，“如果這項(xiàng)技術(shù)被濫用，將會造成災(zāi)難性的影響。”

微軟公司甚至采取了不尋常的措施，為不再提供支持的Windows操作系統(tǒng)版本(包括XP、Vista、Server 2003)發(fā)布最新補(bǔ)丁。

美國國家安全局和美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局對這一威脅都發(fā)布了相關(guān)警告。Tenable Network Security公司研究工程經(jīng)理Scott Caveza說，“得到這樣的關(guān)注并不常見，人們應(yīng)該認(rèn)真對待。”

他說，數(shù)據(jù)中心管理人員應(yīng)該立即對所有計(jì)算機(jī)的操作系統(tǒng)進(jìn)行修補(bǔ)。如果無法立即應(yīng)用補(bǔ)丁，還應(yīng)該啟用網(wǎng)絡(luò)級身份驗(yàn)證，這有助于抵御威脅。他說，數(shù)據(jù)中心運(yùn)營商也可能希望在外圍防火墻上阻止TCP端口3389。

他說：“這也是評估哪些服務(wù)在計(jì)算機(jī)上啟用、禁用任何不必要的服務(wù)，以及確定數(shù)據(jù)中心中是否存在任何不受支持的操作系統(tǒng)版本的好時(shí)機(jī)。而現(xiàn)在還有很多未打補(bǔ)丁的計(jì)算機(jī)。”

Bitsight公司安全研究人員最近掃描了400萬臺可以公開訪問的計(jì)算機(jī)，在微軟公司發(fā)出初始警告并發(fā)布補(bǔ)丁一個(gè)月后，6月中旬仍有近100萬臺計(jì)算機(jī)易受攻擊。大約160萬臺進(jìn)行了修補(bǔ)，另外140萬臺狀態(tài)未知。這只是面向公眾的計(jì)算機(jī)。企業(yè)防火墻上可能還有其他未打補(bǔ)丁的計(jì)算機(jī)，雖然公共互聯(lián)網(wǎng)不可見，但仍容易受到橫向攻擊。

Synopsys公司首席安全策略師Tim Mackey表示，BlueKeep利用了現(xiàn)代數(shù)據(jù)中心的常見漏洞。他說，“遠(yuǎn)程訪問是一項(xiàng)要求，傳統(tǒng)操作系統(tǒng)的應(yīng)用仍然比比皆是。”

他建議，數(shù)據(jù)中心運(yùn)營人員運(yùn)行網(wǎng)絡(luò)掃描以確定運(yùn)行遠(yuǎn)程桌面訪問的活動系統(tǒng)。此外，應(yīng)該檢查和修補(bǔ)計(jì)算機(jī)Windows的虛擬機(jī)模板。

他還建議運(yùn)行Windows 2000服務(wù)器的數(shù)據(jù)中心需要更加小心謹(jǐn)慎。

美國國土安全部警告稱，Windows 2000操作系統(tǒng)易受BlueKeep攻擊，并發(fā)布了一份咨詢報(bào)告。

但微軟公司尚未發(fā)布針對Windows 2000操作系統(tǒng)的補(bǔ)丁。因?yàn)閷τ赪indows 2000操作系統(tǒng)的支持早在2010年結(jié)束。

不斷發(fā)展的漏洞

一些安全研究人員已經(jīng)找到了利用漏洞的方法，而網(wǎng)絡(luò)攻擊者也不甘落后。

例如，Sophos公司發(fā)布了一個(gè)視頻，顯示攻擊者可以接管目標(biāo)計(jì)算機(jī)，這將允許黑客自動化整個(gè)攻擊鏈。

BTB Security公司顧問Humberto Gauna表示，現(xiàn)在是最脆弱的時(shí)刻。他說，“在60天之前，BlueKLeep正處于惡意行為者利用漏洞的成熟期。這個(gè)漏洞較新，可以在許多操作系統(tǒng)環(huán)境中運(yùn)行，以至于那些沒有修補(bǔ)的漏洞可以最大限度地加大網(wǎng)絡(luò)攻擊者造成的損害。”

SANS技術(shù)研究所研究主任Johannes Ullrich表示，網(wǎng)絡(luò)攻擊者采取公開攻擊可能需要幾天時(shí)間。但其發(fā)展是迅速的，他指出，“我認(rèn)為其攻擊時(shí)間不到一周的時(shí)間。”

已經(jīng)有跡象表明，網(wǎng)絡(luò)攻擊者正在使用匿名Tor網(wǎng)絡(luò)掃描互聯(lián)網(wǎng)上的易受攻擊的計(jì)算機(jī)。

安全研究機(jī)構(gòu)GreyNoise Intelligence公司的產(chǎn)品經(jīng)理Greg Wells說：“我們觀察到BlueKeep掃描幾乎完全來自Tor出口節(jié)點(diǎn)。但是，這項(xiàng)活動大約在兩周前就停止了。我認(rèn)為這些掃描是其潛在攻擊的先兆，人們應(yīng)采取相應(yīng)的行動。”

他說，這意味著依賴于使用微軟遠(yuǎn)程桌面服務(wù)的遠(yuǎn)程會話的數(shù)據(jù)中心，尤其是那些服務(wù)暴露在互聯(lián)網(wǎng)上的數(shù)據(jù)中心，應(yīng)該將BlueKeep漏洞視為一個(gè)非常嚴(yán)重的威脅。

他補(bǔ)充說，“鑒于BlueKeep漏洞有可能被當(dāng)作蠕蟲實(shí)現(xiàn)武器化，網(wǎng)絡(luò)攻擊者只需要利用網(wǎng)絡(luò)中的一個(gè)易受攻擊的系統(tǒng)，就可以傳播到其他易受攻擊的系統(tǒng)。”

解決方法和緩解措施

•運(yùn)行掃描以識別需要修補(bǔ)的易受攻擊的計(jì)算機(jī)(包括虛擬機(jī)和虛擬機(jī)模板)，或者對Windows 2000操作系統(tǒng)進(jìn)行更換或升級。

•盡快修補(bǔ)或升級所有易受攻擊的操作系統(tǒng)，包括禁用遠(yuǎn)程桌面服務(wù)的操作系統(tǒng)。

•如果不需要，禁用遠(yuǎn)程桌面服務(wù)。

•在可用時(shí)啟用網(wǎng)絡(luò)級別身份驗(yàn)證。這可以使網(wǎng)絡(luò)攻擊者在利用漏洞之前難以在系統(tǒng)上擁有有效賬戶，這將增加一層保護(hù)措施。

•阻止遠(yuǎn)程桌面服務(wù)(TCP端口3389)在企業(yè)外圍防火墻使用的端口，或限制對可信IP地址白名單的訪問。

•使用安全虛擬專用網(wǎng)絡(luò)連接到內(nèi)部遠(yuǎn)程桌面服務(wù)服務(wù)器。

•向提供遠(yuǎn)程桌面服務(wù)的計(jì)算機(jī)添加多因素身份驗(yàn)證。

•基于常規(guī)用戶與管理員對內(nèi)部網(wǎng)絡(luò)流量進(jìn)行分段。

•確保常規(guī)用戶無法在生產(chǎn)服務(wù)器上啟動遠(yuǎn)程桌面服務(wù)。管理人員對生產(chǎn)系統(tǒng)的訪問應(yīng)該通過隔離的網(wǎng)絡(luò)進(jìn)程。

•配置Windows防火墻以防止常規(guī)用戶在網(wǎng)段上的用戶啟動RDP連接或從非管理員接受它們。

•使Windows 2000機(jī)器脫機(jī)或采取其他步驟隔離，直到可以更換為止。

相關(guān)閱讀：

分布式數(shù)據(jù)中心的五大優(yōu)勢  

浪潮攜手伙伴成立5G聯(lián)合實(shí)驗(yàn)室，并發(fā)布首款虛擬數(shù)據(jù)中心機(jī)房方案  

標(biāo)簽： 數(shù)據(jù)中心 服務(wù)器 漏洞 人

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。