BlueKeep利用得到一个修复其BSOD问题

创投2020-08-29 11:01:34
导读目前,针对臭名昭著的BlueKeep漏洞的唯一公共概念验证代码是Metasploit渗透测试框架的一个模块。由RissuenseSecuri

目前,针对臭名昭著的BlueKeep漏洞的唯一公共概念验证代码是Metasploit渗透测试框架的一个模块。

由RissuenseSecurity研究员SeanDillon(@Zerous0x0)在夏季捐赠的概念验证代码,将BlueKeepMetaLink模块放在一起。

在开发工作中,它有一个缺点,即在一些系统上,它可以用蓝色的死亡屏幕(BSOD)错误来使目标崩溃,而不是给攻击者提供一个远程shell。

这个BSOD错误是安全研究员凯文·博蒙特上周在现实世界中发现了第一次基于Blue Keep的攻击,因为他注意到他的11个RDP蜜罐中有10个因BSOD错误而下降。

但是,本周,BlueKeepMetaLUN模块将修复此错误。修复消除了BSOD错误,使BlueKeep攻击更加可靠。

迪伦在周末接受ZDNet的采访时说,BSOD错误的根本原因是微软的崩溃英特尔CPU漏洞补丁。

"从分析Marcus“MalwareTech”Hutchins所做的分析的屏幕截图来看,我们知道代码执行是成功的,而蜜罐因为利用漏洞而不支持内核而崩溃,"狄龙告诉ZDNET。

他说:“未来的BlueKeepMetasploit开发将支持为熔毁修补的内核,甚至不需要一个KVA阴影缓解旁路。”


新的Blue Keep漏洞在Blue Keep攻击早期改变了漏洞例程,因此甚至不需要崩溃补丁旁路。Dillon对ZDNet说,深入了解技术细节:

“对于[BlueKeep]利用有效载荷从内核模式过渡到传统的用户模式有效负载(例如反向TCP shell回调),我们正在以崩溃KVA阴影缓解所不允许的方式更改系统调用寄存器。在为KVA阴影缓解编写了一个旁路之后,有人指出,可以编写利用有效负载,而根本不需要将系统调用挂钩。实际上,对崩溃旁路的需要实际上是不必要的,也是在漏洞开发的早期错误假设的一部分--这就是将要进行的修复。”

Dillon预计将在本周晚些时候更新BlueKeep模块。在Dillon的个人博客上,还提供了深入了解BlueKeepBSOD根本原因的技术深潜。

这意味着我们所有人都很明显。BlueKeep的公共开发更可靠,意味着攻击者有更高的机会闯入一个运行至少一个易受攻击的系统的公司。

正如Hutchins上周在Twitter上指出的那样,网络安全社区过于关注微软的初始警告:BlueKeep可以用来创建"可使用的恶意软件。"

结果是,每个人都没注意到,即使攻击者不创建基于蓝牙的蠕虫,BlueKeep仍然是一个主要威胁,不应被忽略。

哈钦斯说:“我不是真的担心虫子,我担心的是可能已经发生的事情。”

“大多数BlueKeep易受攻击的设备都是服务器。一般来说,Windows服务器能够控制网络上的设备。它们要么是域管理,要么安装了网络管理工具,要么与网络的其他部分共享相同的本地管理凭证。通过对网络服务器进行妥协,使用自动工具进行内部转轴几乎总是非常容易的(Ex:将服务器Ransomware放到网络上的每个系统上),”他补充道。

"Bluekeep的真实风险不是蠕虫。蠕虫是无意义的,也是嘈杂的。一旦攻击者在网络上,他们就可以用标准自动化工具进行更多的破坏,而不是他们可以使用BlueKeep所做的那样,"Hutchins说。

“记住所有那些关于整个网络的新闻故事是ransomwred?这是用一个被黑客攻击的单一系统开始的。甚至一个服务器、一个正常的、非管理的、客户端系统。攻击者不需要蠕虫。

"人们需要停止对蠕虫的担忧,开始担心基本的网络安全。从Internet断开服务器,了解有关凭据卫生的信息。偶尔会发生蠕虫,但每天都只有使用标准工具才会影响整个网络。"

当新闻打破了在野外的Bluekeep开采时,大部分反应基本上是"这不是虫子,所以它不重要"。我决定我做一个线程,说明为什么这样做是错误的,为什么蠕虫甚至不是最坏的情况。线程:


免责声明:本文由用户上传,如有侵权请联系删除!