行業(yè)專家警告說，目前利用BlueKeep漏洞的攻擊仍在持續(xù)，全球各地至少有上百萬臺計算機可能受到攻擊。

今年5月，微軟公司披露了一個嚴重的安全漏洞，該漏洞影響了個人電腦和服務(wù)器的各種舊版本W(wǎng)indows操作系統(tǒng)。

該漏洞名為BlueKeep，它允許攻擊者使用微軟的遠程桌面服務(wù)來攻擊運行Windows、Windows XP、Windows 7、Windows Server 2003、Windows Server 2008等老舊版本操作系統(tǒng)，并且沒有打過補丁的計算機。

微軟公司將此漏洞的級別標記為“關(guān)鍵”，因為它為攻擊者提供了幾乎沒有限制的系統(tǒng)訪問權(quán)限，并且由于易于使用，這意味著它可以像WannaCry病毒那樣快速傳播。

Synopsys公司管理安全顧問Rehan Bashir表示，“如果這項技術(shù)被濫用，將會造成災(zāi)難性的影響。”

微軟公司甚至采取了不尋常的措施，為不再提供支持的Windows操作系統(tǒng)版本(包括XP、Vista、Server 2003)發(fā)布最新補丁。

美國國家安全局和美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局對這一威脅都發(fā)布了相關(guān)警告。Tenable Network Security公司研究工程經(jīng)理Scott Caveza說，“得到這樣的關(guān)注并不常見，人們應(yīng)該認真對待。”

他說，數(shù)據(jù)中心管理人員應(yīng)該立即對所有計算機的操作系統(tǒng)進行修補。如果無法立即應(yīng)用補丁，還應(yīng)該啟用網(wǎng)絡(luò)級身份驗證，這有助于抵御威脅。他說，數(shù)據(jù)中心運營商也可能希望在外圍防火墻上阻止TCP端口3389。

他說：“這也是評估哪些服務(wù)在計算機上啟用、禁用任何不必要的服務(wù)，以及確定數(shù)據(jù)中心中是否存在任何不受支持的操作系統(tǒng)版本的好時機。而現(xiàn)在還有很多未打補丁的計算機。”

Bitsight公司安全研究人員最近掃描了400萬臺可以公開訪問的計算機，在微軟公司發(fā)出初始警告并發(fā)布補丁一個月后，6月中旬仍有近100萬臺計算機易受攻擊。大約160萬臺進行了修補，另外140萬臺狀態(tài)未知。這只是面向公眾的計算機。企業(yè)防火墻上可能還有其他未打補丁的計算機，雖然公共互聯(lián)網(wǎng)不可見，但仍容易受到橫向攻擊。

Synopsys公司首席安全策略師Tim Mackey表示，BlueKeep利用了現(xiàn)代數(shù)據(jù)中心的常見漏洞。他說，“遠程訪問是一項要求，傳統(tǒng)操作系統(tǒng)的應(yīng)用仍然比比皆是。”

他建議，數(shù)據(jù)中心運營人員運行網(wǎng)絡(luò)掃描以確定運行遠程桌面訪問的活動系統(tǒng)。此外，應(yīng)該檢查和修補計算機Windows的虛擬機模板。

他還建議運行Windows 2000服務(wù)器的數(shù)據(jù)中心需要更加小心謹慎。

美國國土安全部警告稱，Windows 2000操作系統(tǒng)易受BlueKeep攻擊，并發(fā)布了一份咨詢報告。

但微軟公司尚未發(fā)布針對Windows 2000操作系統(tǒng)的補丁。因為對于Windows 2000操作系統(tǒng)的支持早在2010年結(jié)束。

不斷發(fā)展的漏洞

一些安全研究人員已經(jīng)找到了利用漏洞的方法，而網(wǎng)絡(luò)攻擊者也不甘落后。

例如，Sophos公司發(fā)布了一個視頻，顯示攻擊者可以接管目標計算機，這將允許黑客自動化整個攻擊鏈。

BTB Security公司顧問Humberto Gauna表示，現(xiàn)在是最脆弱的時刻。他說，“在60天之前，BlueKLeep正處于惡意行為者利用漏洞的成熟期。這個漏洞較新，可以在許多操作系統(tǒng)環(huán)境中運行，以至于那些沒有修補的漏洞可以最大限度地加大網(wǎng)絡(luò)攻擊者造成的損害。”

SANS技術(shù)研究所研究主任Johannes Ullrich表示，網(wǎng)絡(luò)攻擊者采取公開攻擊可能需要幾天時間。但其發(fā)展是迅速的，他指出，“我認為其攻擊時間不到一周的時間。”

已經(jīng)有跡象表明，網(wǎng)絡(luò)攻擊者正在使用匿名Tor網(wǎng)絡(luò)掃描互聯(lián)網(wǎng)上的易受攻擊的計算機。

安全研究機構(gòu)GreyNoise Intelligence公司的產(chǎn)品經(jīng)理Greg Wells說：“我們觀察到BlueKeep掃描幾乎完全來自Tor出口節(jié)點。但是，這項活動大約在兩周前就停止了。我認為這些掃描是其潛在攻擊的先兆，人們應(yīng)采取相應(yīng)的行動。”

他說，這意味著依賴于使用微軟遠程桌面服務(wù)的遠程會話的數(shù)據(jù)中心，尤其是那些服務(wù)暴露在互聯(lián)網(wǎng)上的數(shù)據(jù)中心，應(yīng)該將BlueKeep漏洞視為一個非常嚴重的威脅。

他補充說，“鑒于BlueKeep漏洞有可能被當作蠕蟲實現(xiàn)武器化，網(wǎng)絡(luò)攻擊者只需要利用網(wǎng)絡(luò)中的一個易受攻擊的系統(tǒng)，就可以傳播到其他易受攻擊的系統(tǒng)。”

解決方法和緩解措施

•運行掃描以識別需要修補的易受攻擊的計算機(包括虛擬機和虛擬機模板)，或者對Windows 2000操作系統(tǒng)進行更換或升級。

•盡快修補或升級所有易受攻擊的操作系統(tǒng)，包括禁用遠程桌面服務(wù)的操作系統(tǒng)。

•如果不需要，禁用遠程桌面服務(wù)。

•在可用時啟用網(wǎng)絡(luò)級別身份驗證。這可以使網(wǎng)絡(luò)攻擊者在利用漏洞之前難以在系統(tǒng)上擁有有效賬戶，這將增加一層保護措施。

•阻止遠程桌面服務(wù)(TCP端口3389)在企業(yè)外圍防火墻使用的端口，或限制對可信IP地址白名單的訪問。

•使用安全虛擬專用網(wǎng)絡(luò)連接到內(nèi)部遠程桌面服務(wù)服務(wù)器。

•向提供遠程桌面服務(wù)的計算機添加多因素身份驗證。

•基于常規(guī)用戶與管理員對內(nèi)部網(wǎng)絡(luò)流量進行分段。

•確保常規(guī)用戶無法在生產(chǎn)服務(wù)器上啟動遠程桌面服務(wù)。管理人員對生產(chǎn)系統(tǒng)的訪問應(yīng)該通過隔離的網(wǎng)絡(luò)進程。

•配置Windows防火墻以防止常規(guī)用戶在網(wǎng)段上的用戶啟動RDP連接或從非管理員接受它們。

•使Windows 2000機器脫機或采取其他步驟隔離，直到可以更換為止。

相關(guān)閱讀：

分布式數(shù)據(jù)中心的五大優(yōu)勢  

浪潮攜手伙伴成立5G聯(lián)合實驗室，并發(fā)布首款虛擬數(shù)據(jù)中心機房方案  

標簽： 數(shù)據(jù)中心 服務(wù)器 漏洞 人

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。