首页 >新闻 > 科技 > 内容

为什么野生Bluekeep漏洞导致补丁机器崩溃

科技 2019-11-27 23:10:35

在Windows的许多版本中,最近对关键的Bluekeep漏洞的攻击不仅仅影响未配对的计算机。结果发现了这些漏洞──重新调整9月发布的Metasploit框架──也导致许多修补的机器崩溃。

上周晚些时候,Windows用户了解到原因:微软在20个月前发布了一个单独的补丁,用于解决英特尔CPU中的熔毁漏洞。五天前,当研究人员凯文·博蒙特(KevinBeaumont)发现了一种恶意的、野生的“蓝记”漏洞,导致他的一个蜜罐在一夜之间坠毁了四次。Metasploit开发者SeanDillon最初将事故归咎于“控制一切的神秘爬行动物力量”。然后,他读到了研究员王华伟(Worawit Wang)的Twitter帖子:

从呼叫堆栈,似乎目标有KVA阴影补丁。原始的永久蓝色内核外壳代码不能用于KVA阴影补丁目标。因此,在运行内核外壳代码时,该漏洞攻击失败。

-Worawit Wang(@轨枕)2019年11月4日

在周四发表的一篇文章中,狄龙写道:

事实证明,我的BlueKeep开发实验室没有熔毁补丁,但在野外,这可能是最常见的情况。

TL;DR:熔毁补丁的副作用在不经意间破坏了SysCall连接内核的有效载荷,这些负载用于攻击,如EternalBlue和BlueKeep。这里有个可怕的麻烦事.但是:它会弹出系统外壳,这样您就可以运行MimiKatz,毕竟这不是它的全部吗?

狄龙的文章给出了一个深层次的解释,解释了为什么他的漏洞在安装崩溃补丁的机器上不起作用,微软称之为KVA阴影,简称为内核虚拟地址阴影(KernelVirtualAddressShadow)。简而言之,缓解的作用是将用户模式线程的虚拟内存页表与内核内存隔离开来。异常是内核代码和结构的一个小子集,在执行陷阱异常、syscalls和类似函数时,必须公开足够来交换内核页表。由Dillon的BlueKeep攻击生成的外壳代码不是KVA阴影代码的一部分,因此用户模式无法与影子代码作出反应。结果,内核被困在递归循环中,直到系统最终崩溃。

Dillon从那时起就重写了利用漏洞的代码。他预计修补程序将很快集成到正式的Metasploit Blue313模块中。

在攻击者开始利用Blue313试图在未安装补丁的机器上安装加密货币矿工之后,这些崩溃就被曝光了。这些漏洞不会在没有用户交互的情况下从一台计算机传播到另一台计算机,而且正如所指出的那样,它们也会导致许多机器崩溃,导致许多人忽视BlueReserve漏洞的潜在严重性。然而,微软的研究人员上周警告称,他们“不能忽视可能导致更有效攻击的增强措施”。他们还表示,“BlueKeep的开采可能被用来提供比硬币矿商更有影响力和破坏性的有效载荷。”

与此同时,安全研究员马库斯·哈钦斯(Marcus Hutchins)提出了一个很有说服力的案例,那就是,如果不像WannaCry和NotPetya爆发那样,在没有用户交互的情况下,BlueReserve漏洞就有可能变得严重,即使它们不会像WannaCry和NotPetya那样,像蠕虫一样从计算机传播到计算机。

WannaCry和NotPetya利用服务器消息块协议,该协议在许多桌面计算机中启用。相比之下,BlueKeet利用Windows的远程桌面服务(RemoteDesktopServices),该服务通常只在服务器上打开。

哈钦斯写道:“由于BlueKeep的局限性,蠕虫不仅会吸引很多注意力,而且在技术上也是具有挑战性的。”这并不意味着蓝护士队没有可能造成重大损害。由于服务器通常充当域管理员、网络管理工具或与其他网络计算机共享相同的本地管理员凭据,因此它们能够控制大部分网络。

哈钦斯解释说:“通过对网络服务器进行妥协,几乎总是非常容易使用自动化工具在内部进行支点(Ex:让服务器向网络上的每个系统丢弃Ransomware)。”

Blue313影响Windows 7、WindowsServer 2008 R2和WindowsServer 2008。这些版本的修补程序在这里可用。由于其严重性,Microsoft已经为Windows XP、Vista和Server 2003提供了不再受支持的修补程序。尚未修补的人员或组织应尽快进行修补。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。