BlueKeep漏洞发生第一波大规模攻击，引发蓝色死亡屏幕

安全研究人员警告又名BlueKeep的Windows远程桌面协议（remote desktop protocol，RDP）漏洞在发现半年后后，已经有人用来发动第一波攻击，引发蓝色死亡屏幕（blue screen of death，BSOD）。

今年5月微软警告Windows终端服务存在编号CVE-2019-0708的漏洞，或称BlueKeep。本漏洞可使攻击者利用RDP连上目标系统，发送改造过的调用，借此执行任意程序代码、安装恶意程序、读取或删改数据、或新开具完整权限的用户账号。作为预先验证（pre-authentication）漏洞，BlueKeep可让蠕虫繁殖（wormable），从一台有漏洞的计算机复制自我扩散到其他计算机上，有如WannaCry。9月间一家安全厂商将BlueKeep加入Metasploit测试框架，可用于黑入BlueKeep漏洞。受影响的操作系统包括Windows 7、Windows Server 2008及2008 R2，及已经终止支持的Windows XP及Server 2003。

在此之前仅有可疑的网络扫瞄行动，不过现在攻击行动来真的。安全专家Kevin Beaumont近日发现他的EnternalPot RDP诱捕系统近日除了澳洲区以外，各区的系统都出现蓝色死亡屏幕。攻击首次出现在10月23日。系统记录显示2周来发生2,600万次事件、发出66次警告。在此之前，这些系统安装杀毒、系统监控、组态管理等软件，仅仅对互联网开放port 3389，但6个月以来皆运行顺畅。

曾经解决WannaCry、又名MalwareTech的天才黑客Marcus Hutchins分析证实，这是第一批BlueKeep攻击。

所幸，这第一次BlueKeep攻击并未像之前微软担心的会自我复制、扩散。分析显示，这只恶意程序并非蠕虫，而疑似黑客利用早先公布的BlueKeep Metasploit框架的shell code，针对有BlueKeep漏洞的系统发动攻击，旨在植入Monero挖矿软件。但是开采BlueKeep并不容易，一定会引发BSOD以致于黑客行动并未如预期发生。研究人员猜测，可能是这次的黑客不具备修改Metasploit概念验证程序代码的能力。

但ZDNet指出，这次只是黑客界第一次尝试大规模攻击BlueKeep，而非只对特定服务器下手。未来仍然有更多黑客不断尝试，像是在受害系统中植入挖矿软件。

虽然微软2度发出警告，美国政府也发出呼吁应尽快修补漏洞，但安全厂商BitSight估计，截至7月底仍有超过78万台系统仍未修补。