溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇文章為大家展示了RDP遠程漏洞被發現野外利用來挖礦的示例分析,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。
| 編號 | QiAnXinTI-SV-2019-0006 |
|---|---|
| 關鍵字 | RDP CVE-2019-0708 |
| 發布日期 | 2019年05月15日 |
| 更新日期 | 2019年11月02日 |
| TLP | WHITE |
| 分析團隊 | 奇安信病毒響應中心 |
2019年05月15日,微軟公布了5月的補丁更新列表,在其中存在一個被標記為嚴重的RDP(遠程桌面服務)遠程代碼執行漏洞,攻擊者可以利用此漏洞遠程無需用戶驗證通過發送構造特殊的惡意數據在目標系統上執行惡意代碼,從而獲取機器的完全控制。此漏洞主要影響的設備為Windows 7、Window Server 2008以及微軟已不再支持的Windows 2003、Window XP操作系統,涉及系統在國內依然有大量的使用,所以此漏洞的影響面巨大,到2019年9月7日,奇安信全球鷹系統評估互聯網上國內可被直接攻擊的受影響RDP服務器還有10萬量級。由于漏洞利用無需用戶交互的特性結合巨大的影響面,意味著該漏洞極有可能被蠕蟲所利用,如果漏洞利用穩定有可能導致類似WannaCry蠕蟲泛濫的情況發生。
奇安信息威脅情報中心紅雨滴團隊第一時間跟進該漏洞并保持關注,目前已經確認利用此漏洞可以至少非常穩定地觸發受影響系統藍屏崩潰從而導致拒絕服務,到5月31日已有公開渠道發布可以導致系統藍屏崩潰的POC代碼出現,有企圖的攻擊者可以利用此POC工具對大量存在漏洞的系統執行遠程拒絕服務攻擊。至2019年9月7日,已有可導致遠程代碼執行的Metasploit模塊公開發布,隨著相關技術的擴散,已經構成了蠕蟲級的現實安全威脅。2019年11月2日,有研究人員發現利用此漏洞的野外攻擊。
相關廠商微軟針對此漏洞已經發布了安全補丁(包括那些已經不再提供技術支持的老舊操作系統),強烈建議用戶立即安裝相應的補丁或其他緩解措施以避免受到相關的威脅。
漏洞存在Windows的Remote Desktop Services(遠程桌面服務)中,技術細節已知但在此不再詳述,對于漏洞的利用無需用戶驗證,通過構造惡意請求即可觸發導致任意指令執行,系統受到非授權控制。
此漏洞影響Windows 7、Window Server 2008以及微軟已不再支持的Windows 2003、Window XP操作系統,目前通過技術評估,還存在大量未安裝補丁的RDP服務在線,影響面巨大。而且,至2019年9月7日已有公開渠道發布可導致遠程命令執行的漏洞利用Metasploit模塊發布,形成非常明確急迫的蠕蟲級現實威脅,目前國內還有大量未修復漏洞的系統存在,需要引起高度重視。
奇安信威脅情報中心總結了從微軟進行漏洞通告到發現利用此漏洞的野外攻擊的時間線如下:
1. 2019年5月14日
微軟發布遠程桌面服務代碼執行漏洞CVE-2019-0708的安全通告及相應補丁,并特別針對此漏洞發布了專門的說明,提示這是一個可能導致蠕蟲泛濫的嚴重漏洞。
2. 2019年5月15日
奇安信威脅情報中心發布漏洞預警及處置方案,隨后奇安信安全產品線發布漏洞檢測修復工具。
3. 2019年5月22日
奇安信紅雨滴團隊發布非破壞性漏洞掃描工具并更新至奇安信漏洞檢測修復工具中。
4. 2019年5月23日
互聯網公開渠道出現具有非破壞性漏洞掃描功能的POC程序。
5. 2019年5月25日
黑客開始大規模掃描存在漏洞的設備。
6. 2019年5月30日
微軟再次發布對于CVE-2019-0708漏洞做修補的提醒,基于漏洞的嚴重性強烈建議用戶盡快升級修復。
7. 2019年5月31日
互聯網公開渠道出現能導致藍屏的POC代碼,奇安信威脅情報中心紅雨滴團隊已經確認了POC代碼的可用性,漏洞相關的現實威脅進一步升級。
結合目前已經有黑客進行大規模掃描存在漏洞設備并進行收集的情況,很有可能導致現實中存在漏洞的主機被批量進行漏洞攻擊而導致大規模拒絕服務,奇安信威脅情報中心提醒務必對資產進行檢查,并修補設備的漏洞。
8. 2019年7月31日
商業漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模塊。
9. 2019年9月7日
已有公開渠道的Metasploit CVE-2019-0708漏洞利用模塊發布,攻擊模塊的可用性已經得到驗證,當前已構成現實的蠕蟲威脅。
10. 2019年11月2日
野外發現利用CVE-2019-0708漏洞的現實攻擊,Payload為挖礦程序。
1. 目前軟件廠商微軟已經發布了漏洞相應的補丁,奇安信威脅情報中心建議進行相關升級
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC
Windows XP 及Windows 2003可以在以下鏈接下載補丁:
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
2. 奇安信公司推出了針對性的“CVE-2019-0708”漏洞檢測修復工具1.0.0.1004版:
https://www.qianxin.com/other/CVE-2019-0708
奇安信公司的安全產品:天擎終端安全管理系統、天堤防火墻、天眼高級威脅檢測系統、SOC及態勢感知系統都已經支持對于此漏洞利用的檢測和防護及相關惡意代碼的查殺。
1. 如暫時無法更新補丁,可以通過在系統上啟用網絡及身份認證(NLA)以暫時規避該漏洞影響。
2. 在企業外圍防火墻阻斷TCP端口3389的連接,或對相關服務器做訪問來源過濾,只允許可信IP連接。
3. 如無明確的需求,可禁用遠程桌面服務。
上述內容就是RDP遠程漏洞被發現野外利用來挖礦的示例分析,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
