富士通介绍1.2Tbps全新光传输技术 相当于每秒传递六张蓝光光盘
2022-09-16 14:07:30
在许多版本的Windows中,最近对关键Bluekeep漏洞的攻击不仅影响不成对的计算机。结果,这些漏洞被发现了——重新调整了9月发布的Metasploit框架——许多打了补丁的机器崩溃了。
上周晚些时候,Windows用户得知了原因:微软在20个月前发布了一个单独的补丁,以解决英特尔CPU中的熔毁漏洞。五天前,当研究人员KevinBeaumont发现一个恶意且疯狂的“蓝色记录”漏洞时,他的一个蜜罐在一夜之间崩溃了四次。Metasploit的开发者SeanDillon最初将事故归咎于“控制一切的神秘爬行动物力量”。然后,他阅读了研究员王华伟的推特帖子:
(相关资料图)
从调用堆栈来看,目标似乎有KVA阴影补丁。的原始永久蓝色内核外壳代码不能用于KVA阴影补丁目标。因此,当运行内核外壳代码时,漏洞攻击失败。
——沃拉维特王(@沉睡者)2019年11月4日。
在周四发表的一篇文章中,狄龙写道:
事实证明,我的BlueKeep开发实验室没有熔毁补丁,但在野外,这可能是最常见的情况。
TL;灾难恢复:熔毁补丁的副作用无意中破坏了SysCall连接内核的有效载荷,这些有效载荷被用于攻击,如永恒蓝和蓝色保持。这里有一个可怕的麻烦。但是:它会弹出系统外壳,让你可以运行MimiKatz。毕竟,这不就是它的全部吗?
狄龙的文章给出了深刻的解释,解释了为什么他的漏洞在安装了崩溃补丁的机器上不起作用。微软称之为KVA阴影,简称KernelVirtualAddressShadow。简而言之,缓解的作用是将用户模式线程的虚拟内存页表与内核内存隔离开来。异常是内核代码和结构的一小部分。当执行trap exception、syscalls和类似的函数时,它必须足够暴露以交换内核页表。狄龙的BlueKeep攻击生成的shell代码不是KVA影子代码的一部分,所以用户模式无法对影子代码做出反应。结果,内核陷入递归循环,直到系统最终崩溃。
从那以后,狄龙重写了利用代码。他预计该补丁将很快集成到官方Metasploit Blue313模块中。
这些崩溃是在攻击者开始使用Blue313试图在未打补丁的机器上安装加密货币矿工后暴露出来的。这些漏洞不会在没有用户交互的情况下从一台计算机传播到另一台计算机,正如所指出的,它们还会导致许多机器崩溃,导致许多人忽略了BlueReserve漏洞的潜在严重性。然而,微软研究人员上周警告称,他们“不能忽视可能导致更有效攻击的增强措施”。他们还表示,“对BlueKeep的挖掘可能会被用来提供比硬币矿工更具影响力和破坏性的有效载荷。”
与此同时,安全研究员马库斯哈钦斯(Marcus Hutchins)提出了一个非常有说服力的案例,即如果不像WannaCry和NotPetya那样爆发,那么在没有用户交互的情况下,BlueReserve的漏洞可能会变得严重,即使它们不会像WannaCry和NotPetya那样像蠕虫一样在计算机之间传播。
WannaCry和NotPetya使用服务器消息块协议,该协议在许多台式计算机上启用。相比之下,BlueKeet使用的是Windows的RemoteDesktopServices,它通常只在服务器上打开。
哈钦斯写道:“由于BlueKeep的局限性,蠕虫不仅吸引了大量关注,而且在技术上也具有挑战性。”这并不意味着蓝护士团队不太可能造成重大伤害。因为服务器通常充当域管理员、网络管理工具或与其他网络计算机共享相同的本地管理员凭据,所以它们可以控制大多数网络。
哈钦斯解释说:“通过牺牲网络服务器,几乎总是非常容易地将自动化工具用于内部支点(例如:让服务器向网络上的每个系统丢弃Ransomware)。”
Blue313影响Windows 7、WindowsServer 2008 R2和WindowsServer 2008。这些版本的修补程序可在此处获得。由于其严重性,微软为Windows XP、Vista和Server 2003提供了不再支持的补丁。未修复的人员或组织应尽快修复。