Windows RDP协议重大漏洞后发现黑客开始大规模扫瞄

微软在两周前公布Windows RDP协定重大漏洞后，安全专家发现（5月27日）已经有黑客开始大规模扫瞄网络上有漏洞的Windows系统，显示可能发动攻击。而多家安全厂商也制作出概念验证攻击程序。编号CVE-2019-0708的漏洞存在于旧版Windows远程桌面服务（Remote Desktop Service，RDS）中，本漏洞可使未授权攻击者得以利用RDP连上目标系统传送恶意呼叫。成功开采者可于远程执行任意程序代码、安装恶意软件、读取或删改数据、或新开具完整权限的用户账号。本漏洞的CVSS Score v3风险评分皆为重大等级的9.8分（满分10分），微软强烈建议用户应尽速安装修补程序。除了Windows 8和Windows 10系统外，从Windows XP及Server 2003，到Windows 7、Windows Server 2008 及2008 R2都受影响，微软还例外对XP及Server 2003释出修补程序。这项漏洞也被称为BlueKeep。

虽然微软说尚未看到有攻击情形，不过安全厂商GreyNoise本周发现网络上有数十台主机，针对BlueKeep漏洞进行大规模扫瞄。安全公司观察到扫瞄行动全是来自Tor网络的出口节点，判断是由单一组织或人士所为。GreyNoise创办人Andrew Morris对此指出，他相信攻击者用的是渗透测试工具Metasploit模块来扫瞄BlueKeep漏洞主机。虽然扫瞄不代表一定是攻击行动，但这极可能是黑客攻击的前兆。在此之前，已经有卡巴斯基、McAfee及CheckPoint等安全厂商，宣称已经开发出BlueKeep的概念验证（PoC，Proof of Concept）攻击工具。主持MalwareTech的资安研究人员（及前黑客）Marcus Hutchins也表示，他只花了一小时搞清楚怎么攻击，4天就写出PoC攻击程序。安全公司也呼吁用户及早安装修补程序。