BlueKeep是Microsoft远程桌面服务中一个令人担忧的安全漏洞,它允许攻击者远程控制易受攻击的系统。
Metasploit开发人员发布了第一个具有Payload执行功能的漏洞利用代码功能原型。
Bitdefender测试了新发布的漏洞利用代码,Hypervisor Introspection阻止了这种攻击
上周五,致力于Metasploit项目的安全研究人员发布了第一个功能性漏洞利用代码,以成功实现针对易受BlueKeep攻击的系统的代码执行。影响Microsoft远程桌面服务的这一影响较大的漏洞在2019年5月首次报告为CVE-2019-0708。5月14日,Microsoft开始发布受影响Windows操作系统的补丁(包括XP和2003年底)
在远程代码执行时,漏洞利用率还不是100%可靠。目标系统可能在Payload执行期间遇到BSOD。但是,足以证实2017年推出的Bitdefender Hypervisor Introspection(HVI)内核保护措施有效地击败了BlueKeep。那时,漏洞和利用漏洞并未公开,并且可以零日被阻止。
为什么BlueKeep如此危险?
BlueKeep是被认为可以解决的高严重性安全漏洞之一。这些漏洞通常是广泛使用的操作系统服务中的错误,这些服务通常由系统管理员向外界公开,并由安全团队允许。威胁参与者喜欢利用广泛暴露的服务中发现的漏洞来最大化和自动化他们正在构建的攻击的横向移动步骤。更糟糕的是,成功的攻击被授予对系统的完全控制权,因为被利用的RDP组件是Windows内核驱动程序。
近年来发生了几起引人注目的蠕虫攻击事件。WannaCry是一个相当新的高调蠕虫攻击,利用EternalBlue漏洞传播勒索软件。在WannaCry出现之前的几个月,我们写了关于Bitdefender Hypervisor Introspection如何击败EternalBlue漏洞的文章。
Hypervisor Introspection如何防止漏洞利用?
Bitdefender Hypervisor Introspection(HVI)是一种先进的反漏洞利用技术,它利用内置于现代虚拟机监控程序中的虚拟机Instropection API来监控正在运行的虚拟机的整个内存占用。这允许该技术专注于在运行时在内存中识别攻击技术,而不是搜索先前遇到的行为(签名,启发式,机器学习等)。Hypervisor Introspection不需要事先了解漏洞或它的位置,也不需要事先了解漏洞利用代码。
像BlueKeep(和EternalBlue)这样的内核漏洞需要谨慎操作才能访问操作系统API。当获得初始代码执行时,如果不调用OS函数,漏洞利用就无法做很多事情,因为它在任意上下文中运行会导致系统死锁或崩溃。为了“迁移”到已知的上下文,恶意代码将尝试拦截OS SYSCALL处理程序。Hypervisor Introspection正在监视操作系统内核结构,包括CPU模型特定寄存器值,以防止恶意更改。通过这样做,Hypervisor Introspection提供针对依赖于相同开发技术的整类攻击的通用保护。
可用的缓解措施
利用公开的漏洞利用代码,开发武器化恶意软件的可能性大大增加。在发布这篇博客文章时,Shodan Internet Exposure Observatory正在报告超过300,000个面向Internet的系统正在暴露易受BlueKeep攻击的未修补的RDP服务。虽然Bitdefender Hypervisor Introspection客户已受到保护,但每个人都必须考虑可用的缓解措施并立即采取行动:
使用Bitdefender补丁管理解决方案应用最新的可用补丁。
使用网络级别身份验证配置远程桌面服务
除非系统已打补丁,否则不要将RDP暴露给外界。
其他资源
Hypervisor Introspection 解决方案页面
Hypervisor Introspection KVM技术预览报名表和数据表
使用Hypervisor Introspection 防止SWAPGS侧通道攻击
Hypervisor Introspection 提前20天击败了EternalBlue
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
