安全专家：BlueKeep攻击程式“改良”后不再引发BSoD，危险性更高

安全专家近日表示，BlueKeep漏洞的概念验证攻击程式在“改良”下，已经不再引发蓝色死亡屏幕（Bluescreen of Death，BSoD），将使攻击效率更高。

月初安全专家Kevin Beaumont侦测到针对BlueKeep（CVE-2019-0708）漏洞的第一波攻击，造成他的EnternalPot RDP诱捕系统近日除了澳洲区以外，各区的系统都出现蓝色死亡屏幕。这波攻击用的正是安全业者Rapid7打造的Metasploit攻击测试框架，当中结合了RiskSense研究人员 Sean Dillon（推特代号zerosum0x0）贡献的程式码。

Dillon对媒体ZDNet表示，第一波BlueKeep攻击造成的BSoD，基本上是他早期版程式码的“臭虫”，使Metasploit框架和Meltdown修补程式不相容，而无法让攻击者远端存取受害系统。想要成功骇入系统，还需要加入程式码来绕过微软称为KVA Shadow的Meltdown 修补程式。也就是说，系统有安装该修补程式才会出现蓝色死亡屏幕；出现BSoD反而表示BlueKeep攻击并未成功，并且有助于安全人员提高警觉。

但Dillon说，他手上即将完成的新版程式码经过改写，已经可以克服这只“臭虫”，也就是说，未来的Metasploit框架将能进行更有效的攻击，即使受害电脑安装KVA Shadow修补程式。他预计本周新版Metasploit就会完成。

这也印证代号MalwareTech的安全专家Marcus Hutchins的隐忧。他说上星期第一波BlueKeep攻击发生时，由于并非当初微软担心的蠕虫，许多人以为这波攻击没什么。但他认为这正是搞错重点；他说BlueKeep攻击程式的真正风险不在于是否为蠕虫，BlueKeep漏洞让攻击者骇入服务器，再利用自动化工具在内网为害，像是丢入勒索软件。因此BlueKeep攻击仍十分危险，不能掉以轻心。

根据系统管理与网络安全（SANS）协会研究人员Jan Kopriva的调查，企业修补BlueKeep漏洞速度还不够快。他分析Shodan扫描网络上port 3389有回应的（即对互联网开放，而可能遭受BlueKeep恶意程式攻击）系统比例，显示大约还有52万台系统未修补。研究人员认为，虽然开放port 3389的比例逐月降低，但还没低到不成为攻击者目标的地步。