服务器漏洞修复工具,BlueKeep漏洞利用工具已在野外发现?

1、服务器漏洞修复工具，BlueKeep漏洞利用工具已在野外发现？

几个月来，安全从业者一直在担心已被公开的 BlueKeep 漏洞会被攻击者滥用。

作为旧版 Windows 操作系统中易受攻击的一个短板，这意味着它可能再次掀起类似两年前 WannaCry 蠕虫爆发大感染的严重后果。

周五的时候，作为一款被白帽和黑帽黑客使用的开源工具，基于 Metasploit 框架的 BlueKeep 漏洞利用蠕虫如约而至。

（截图 via ARSTechnica）

尽管 Metasploit 模块不如 EternalBlue 漏洞那样“精致”，但它的功能依然相当强大。

由 GitHub 上发布的该模块可知，其尚未具有源自 NSA、后被 WannaCry 所利用的 EternalBlue 漏洞的威力和可靠性。

例如，若使用新模块的黑客指定了他们想要攻击的错误版本的 Windows，就有可能遭遇蓝屏死机。

若想在服务器计算机上工作，还需要借助注册表修改大法，以更改默认的设置、并启用音频共享。

相比之下，Shadow Brokers 在 2017 年 4 月甩出来的 EternalBlue 漏洞利用工具，就能够在默认设置的情况下，与各种版本的 Windows 无缝对接。

泄露一个月后，EternalBlue 被吞进了席卷全球的 Wannacry 勒索软件。一个月后，又冒出了一个名叫 NotPetya 的恶意软件，对全球计算机造成了更严重的破坏。

至于最新曝光的 BlueKeep 漏洞，其索引编号为 CVE-2019-0708 。其存在于早期版本的远程桌面服务中，被用于传输通过互联网连接的 Windows 计算机的图形界面。

该漏洞影响从 Windows XP / 2003、到 Vista / 7、甚至 Server 2008 / R2 的多个 Windows 操作系统版本。

尽管微软已在今年 5 月发布了漏洞修复补丁，但仍向未及时部署更新的计算机发出了警告，称其可能遭遇类似的严重后果。

由于风险实在太大，在补丁发布后一个月，美国国家安全局（NSA）官员又一次敦促人们尽快安装可款修复程序。

2、最新曝光的高危漏洞BlueKeep有多严重？

援引外媒SecurityWeek报道，将近100万台设备存在BlueKeep高危漏洞安全隐患，而且已经有黑客开始扫描寻找潜在的攻击目标。该漏洞编号为CVE-2019-0708，存在于Windows远程桌面服务（RDS）中，在本月的补丁星期二活动日中已经得到修复。

该漏洞被描述为蠕虫式（wormable），可以利用RDS服务传播恶意程序，方式类似于2017年肆虐的WannaCry勒索软件。目前已经有匿名黑客尝试利用该漏洞执行任意代码，并通过远程桌面协议（RDP）来发送特制请求，在不需要用户交互的情况下即可控制计算机。

目前微软已经发布了适用于Windows 7、Windows Server 2008、Windows XP、Windows Server 2003的补丁。Windows 7和Windows Server 2008用户可以通过启用Network Level Authentication (NLA)来防止未经身份验证的攻击，并且还可以通过阻止TCP端口3389来缓解威胁。

很多专家可以发现了基于BlueKeep的网络攻击，不过目前还没有成熟的PoC。

最初是由0-day收集平台Zerodium的创始人Chaouki Bekrar发现，BlueKeep漏洞无需任何身份验证即可被远程利用。

“我们已经确认微软近期修补的Windows Pre-Auth RDP漏洞（CVE-2019-0708）可被恶意利用。在没有身份验证的情况下，攻击者可以远程操作，并获得Windows Srv 2008、Win 7、Win 2003、XP上的SYSTEM权限。启用NLA可在一定程度上缓解漏洞。最好马上打补丁，”Bekrar发推文表示。

周六，威胁情报公司GreyNoise开始检测黑客的扫描活动。其创始人Andrew Morris表示，攻击者正在使用RiskSense检测到的Metasploit模块扫描互联网，来寻找易受BlueKeep漏洞攻击的主机。他周六发推说：“仅从Tor出口节点观察到此活动，其可能由一个黑客执行。”

目前，这些只是扫描，不是实际的利用尝试。然而，至少有一个黑客投入了相当多的时间和精力来编制易受攻击的设备列表，为实际的攻击做准备。至少有6家公司透露已开发出BlueKeep漏洞的利用，并且至少可以在网上找到两篇非常详细的关于BlueKeep漏洞细节的文章，所以黑客们开发出自己的利用方式也只是时间问题。

在过去两周里，infosec社区一直密切关注攻击迹象、可以简化RDP漏洞利用以及后续攻击的PoC代码的发布。到目前为止，没有研究人员或安全公司发布此类漏洞的利用代码。原因显而易见，它可以帮助黑客展开大规模攻击。一些公司已经成功开发了Bluekeep漏洞的利用，但打算保密。这些公司包括：Zerodium，McAfee，Kaspersky，Check Point，MalwareTech和Valthek。

3、如何找到服务器的漏洞？

查找Web服务器漏洞

在Web服务器等非定制产品中查找漏洞时，使用一款自动化扫描工具是一个不错的起点。与Web应用程序这些定制产品不同，几乎所有的Web服务器都使用第三方软件，并且有无数用户已经以相同的方式安装和配置了这些软件。

在这种情况下，使用自动化扫描器发送大量专门设计的请求并监控表示已知漏洞的签名，就可以迅速、高效地确定最明显的漏洞。Nessus 是一款优良的免费漏洞扫描器，还有各种商业扫描器可供使用，如 Typhon 与 ISS。

除使用扫描工具外，渗透测试员还应始终对所攻击的软件进行深入研究。同时，浏览Security Focus、邮件列表Bugtrap和Full Disclosure等资源，在目标软件上查找所有最近发现的、尚未修复的漏洞信息。

还要注意，一些Web应用程序产品中内置了一个开源Web服务器，如Apache或Jetty。因为管理员把服务器看作他们所安装的应用程序，而不是他们负责的基础架构的一部分，所以这些捆绑服务器的安全更新也应用得相对较为缓慢。而且，在这种情况下，标准的服务标题也已被修改。因此，对所针对的软件进行手动测试与研究，可以非常有效地确定自动化扫描工具无法发现的漏洞。

4、漏洞危机要如何避免？

大家好，今天分享一篇来源小白一键重装网（xiaobaixitong.com）关于解答：windows10最新漏洞被发现。

据报道，微软正向Windows 10用户发出红色警报，警告他们立即更新操作系统。

微软公司在当地时间8月13日的一篇博客文章中警告称，有两个“关键”漏洞堪比上一次的BlueKeep漏洞危机。（新的漏洞也属于蠕虫式（wormable）的漏洞。）

这意味着黑客可以利用它们将恶意软件从一台机器传播到另一台机器，而不需要用户进行任何交互行为。

在这之前微软已经发布了月度更新，针对该漏洞的修复程序，其中包括两个严重的远程代码执行（RCE）漏洞，分别是CVE-2019-1181和CVE-2019-1182。

不知道大家更新了没有，反正小白当时正在上班，迎来了微软的幸福倒计时，强制更新的背后是小白的骂骂咧咧。

据说修复了上述的漏洞，关闭了安全漏洞进入的入口点，但微软透露仍存在数亿台有被攻击风险的电脑。

受漏洞影响的系统版本

Windows 10 for 32-bit Systens

Windows 10 for x64-based Systens

Windows 10 Version 1607 for 32-bit Systens

Windows 10 Version 1607 for x64-based Systens

Windows 10 Version 1703 for 32-bit Systens

Windows 10 Version 1703 for x64-based Systens

Windows 10 Version 1709 for 32-bit Systens

Windows 10 Version 1709 for 64-based Systens

Windows 10 Version 1709 for Ari64-based Systens

Winndors 10 Version 1803 for 32-bit Systens

Windows 10 Wersion 1803 for Ari64-based Systens

windows 10 Version 1803 for x64-based Systens

windows 10 Version 1809 for 32-bit Systens

windows 10 Version 1809 for Arm64-based Systens

windows 10 Version 1809 for x64-based Systems

windows 10 Version 1903 for 32-bit Systens

windows 10 Version 1903 for Arm64-based Systens

windows 10 Version 1903 for x64-based Systems

windows 7 for 32-bit Systens Service Pack 1windows 7 for x64-based Systens Service Pack 1windows 8.1 for 32-bit systenswindows 8.1 for x64-based systenswindows RT 8.1windows Server 2008 R2 for Itanium-based Systems Service Pack 1windows Server 2008 R2 for x64-based Systens Seervice racwindows Server 2008 R2 for x64-based Systens Service Pack 1 (Server Corestallation)windows Server 2012Windows Server 2012 (Server Core installationWindows Server 2012 R2Windows Server 2012 R2 (Server Core installation)Windows Server 2016Windows Server 2016 (Server Core installation)windows Server 2019Windows Server 2019 (Server Core installation)Windows Server, version 1803 (Server Core Installation)Windows Server, version 1903 (Server Core installation）

需要注意的是：本次漏洞主要存在win10系统中，而使用windwos 7 Service Pack 1或者windows Server 2008 R2 Service Pack 1 的用户，只有安装了RDP 8.0或RDP 8.1才会受漏洞影响

处理方法：

用户可以在开始菜单搜索：windows Update 点击更新系统

或者直接到微软官网下载补丁更新

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226

更新就真的安然无恙吗？

第一时间更新的用户也别以为可以高枕无忧，小白发现有用户更新后出现随机重启的问题：

这位用户说的内容是：“屏幕变黑，PC关机。PC重启之后就直接进入到桌面。虽然看起来像是一次正常的重启过程，但是在执行重启操作之前并没有确认是否还有程序没有正常关闭。在重启之后不需要用户登陆，也不会进入BIOS。它只是突然的、没有任何警告的重启，所以我无法诊断是什么原因。但我可以100%确认这个问题是近期Windows更新所导致的。”

一些用户吐槽称，重启之后系统用户没有登陆，也不会进入BIOS。无任何提示重启，作为小白用户是很难发现问题是什么，无从下手。

目前微软还没有回应上述问题。

小白温馨提示：家中常备小白U盘PE,保平安。系统出问题，随时随地进行修复

（点击图片查看教程）

以上就是小白分享的全部内容了，赞同小白说的话收藏文章以防备用，关注小白从此变大神！留言分享你的想法吧！