公共BlueKeep漏洞利用模块由MetaSploit发布

 
BlueKeep Windows漏洞的公共漏洞利用模块今天已添加到开源Metasploit渗透测试框架中，该框架由Rapid7与开源社区合作开发。
BlueKeep是Windows远程桌面协议(RDP)服务中发现的可疑远程代码执行(RCE)安全漏洞，它使未经身份验证的攻击者能够远程运行任意代码，启动拒绝服务攻击，并在某些情况下完全控制未修补的系统。
新发布的Metasploit BlueKeep漏洞利用模块使用Metasploit贡献者zǝɹosum0x0和Ryan Hanson的概念验证代码构建，目前仅针对64位版本的Windows 7和Windows 2008 R2。
“默认情况下，Metasploit的BlueKeep漏洞仅识别目标操作系统版本以及目标是否可能易受攻击，”Metasploit高级工程经理Brent Cook表示。
“该漏洞目前不支持自动定位;它要求用户在尝试进一步利用之前手动指定目标详细信息。”
“利用所需的所有信息已经在过去几周内泄露出来，并且已经公布了至少十几个私有漏洞，”z askedosum0x0告诉BleepingComputer，当被问及用户是否应该关注威胁演员将很快使用该漏洞时。
“修补此漏洞需要数月才能解决，而且像之前可疑的Windows漏洞一样，它可能仍会成为未来几年的关注点。”
此次公开BlueKeep攻击的发布紧随着针对RDP服务器的攻击数量增加之后，BinaryEdge目前在互联网上可以检测到超过1,000,000个未打补丁的机器。
Shodan还提供了一个仪表板，用于跟踪BlueKeep易受攻击的系统，每个国家的统计数据。例如，仅在美国就有71,977个未修补的服务器。
Rapid7自己的每日RDP活动情节显示，自2018年10月以来观察到的BlueKeep相关活动逐渐增加。
每日RDP恶意活动
“Metasploit的开发利用了改进的通用RDP协议库，以及增强的RDP指纹识别功能，这两项功能都将使Metasploit用户和贡献者远远超出BlueKeep扫描和利用的范畴，”Cook还补充说。
他还警告说“如果入侵防御系统仅仅因为它检测到针对未修补目标的有效负载签名而中断正在进行的BlueKeep攻击，那么打破该网络连接可能会使目标崩溃作为副作用，因为漏洞利用代码实际上是由网络断开。“
有关Metasploit新BlueKeep漏洞如何识别目标，使用方式以及用户可以采取哪些措施以避免在IPS检测到Metasploit负载后机器崩溃的更多详细信息，可在Cook的博客文章和此Metasploit Framework中获取请求。
BlueKeep扫描仪和漏洞利用
安全性装备Immunity还包括7月23日在他们的CANVAS自动笔测试实用程序的7.23版本中完全运行的BlueKeep漏洞。
该公司当时表示，公司决定在其渗透测试工具中添加一个完全正常工作的RCE漏洞，而不仅仅是扫描仪，以便找到易受攻击的机器来“帮助客户解决他们的风险问题”。 “这不仅仅是关于BLUEKEEP – 总会有另一个漏洞出现并让你处于危险之中。”
新版本 – CANVAS 7.23：此版本为RDP漏洞利用BLUEKEEP提供了一个新模块。在这里查看我们的视频演示：https：//t.co/azCuJp1osI #bluekeep#cve20190708 #exploit
微软修补了关键的RCE漏洞，该漏洞被追踪为CVE-2019-0708，并在5月14日影响了Windows XP，Vista，7，Server 2003和Server 2008。
在微软发布安全更新以修复BlueKeep漏洞之后，一些研究人员开发并演示了针对该漏洞的多个概念验证漏洞利用程序。
他们中的一些人创建了用于扫描未修补的Windows设备而没有不良副作用的工具[1,2]，以及NCC Group的Suricata BlueKeep签名等检测规则。 Intezer的研究人员还在7月发现了一种新的Watchbog恶意软件变种，包括一个BlueKeep扫描器模块。
最重要的是，在8月份，微软修补了另外两个可疑的远程代码执行(RCE)缺陷 – 在8月13日的远程桌面服务(RDS)中被追踪为CVE-2019-1181和CVE-2019-1182，并且影响了所有不支持的Windows版本。
美国网络安全和基础设施安全局(CISA)在6月发布了BlueKeep缓解措施列表，作为修补所有BlueKeep易受攻击设备的警报的一部分，同时宣布在成功利用易受攻击的Windows 2000计算机后实现了RCE。
CISA的警告是第四个在微软[1,2]和美国国家安全局发布另一个之后修补和/或升级易受攻击的计算机的警告。
CISA还敦促所有Windows管理员和用户查看Microsoft BlueKeep安全通报和CVE-2019-0708的Microsoft客户指南。
美国东部时间9月6日17:08更新：当被问及新的Metasploit漏洞利用模块是否允许威胁参与者更多地访问信息以创建自己的漏洞以及Rapid 7决定发布模块的原因是什么时，库克提供了以下响应。
Metasploit是一个可供任何人使用的开源利用工具包。 exploit模块中的信息提供了对攻击技术以及如何减轻攻击技术的进一步理解。这适用于添加到Metasploit Framework的每个模块和技术。该模块特别有益于依靠开源工具进行测试和确定安全风险优先级的防御者。
我们认识到其他研究人员也为此漏洞独立开发了工作漏洞，鉴于迄今为止已经积累的公共信息，我们认为帮助安全从业者证明与此漏洞相关的直接风险并鼓励实施缓解措施非常重要。
今天的模块包含限制，阻止其直接用于大规模自动开发，但我们确实希望安全社区的其他知识在某些时候完成图片。