微软发布最新Windows BlueKeep攻击预警

微软Defender ATP研究小组表示，在11月2日检测到的BlueKeep攻击，与9月份的一次挖矿活动有关，他们均使用相同的C&C模式。

BlueKeep（CVE-2019-0708）是一个严重的安全问题，它是一个未经身份验证的远程代码执行漏洞，该漏洞会影响Windows 7、Windows Server 2008和Windows Server 2008 R2上的远程桌面服务，无需用户操作就可以使恶意软件在连接的系统之间相互传播。

微软Defender ATP研究小组发现了此问题，就敦促用户及时安装应用补丁，因为未来还会有更多有害攻击， BlueKeep漏洞很可能将用于植入挖矿工具，给设备带来的危害更具破坏性。    

微软在推特上表示： “我们与研究界一致认为CVE-2019-0708（BlueKeep）的开采规模可能很大。因此要立即查找并修补那些无保护的RDP服务。”

微软安全研究人员发现，9月初的时候，挖矿活动使用了一种植入物，该植入物与10月份BlueKeep Metasploit活动所使用的C&C相同，在该漏洞没有引起系统崩溃的情况下，也有人观察到安装了采矿机。

这表明，这两次挖矿活动可能是由相同的攻击者负责，他们一直在不懈的进行网络挖矿，并最终将BlueKeep漏洞纳入他们的武器库。

微软的研究人员还证实，该BlueKeep活动使用了9月份针对Metasploit渗透测试框架发布的漏洞利用模块，就像安全研究人员 Marcus Hutchins在分析研究人员Kevin Beaumont从其EternalPot RDP蜜罐网络收集的崩溃转储时所发现的那样。

微软在法国、俄罗斯、意大利、西班牙、乌克兰、德国、英国和其他国家/地区的系统上发现了这次攻击中提供的挖矿有效载荷，这些攻击针对通过端口扫描发现具有面向互联网的RDP服务的机器。

攻击者利用了易受攻击的RDP服务，然后下载并执行了一些混淆的PowerShell脚本，这些脚本将网络挖矿作为最终的有效负载，并创建了一个持久性的任务。

Redmond的安全研究团队认为，这些攻击中使用的BlueKeep Metasploit模块也会导致崩溃。一些漏洞攻击表明，只要系统未安装补丁，且未对总体安全态势进行控制，BlueKeep就会成为巨大威胁。

Microsoft提供了一个威胁分析报告，该报告由安全运营团队使用Microsoft Defender Advanced Threat Protection生成，同时调查其组织中的BlueKeep威胁。另外，美国网络安全和基础架构安全局（CISA） 于6月发布了BlueKeep缓解措施清单， 并敦促Windows管理员和用户查看 Microsoft BlueKeep安全通报 和CVE-2019-0708的 Microsoft客户指南以了解更多信息。