导航菜单
首页 >  沐鸣开户测速 >  » 正文

沐鸣开户测速解决:为什么野生Bluekeep漏洞导致补丁机器崩溃

沐鸣开户测速

最近在许多版本的Windows中对关键的Bluekeep漏洞的疯狂攻击不仅影响到未打补丁的机器。事实证明,利用Metasploit框架重新发布9月份的版本也会导致许多打了补丁的机器崩溃。
 
上周晚些时候,Windows用户了解了原因:微软20个月前发布了针对英特尔(Intel) cpu崩溃漏洞的单独补丁。5天前,研究人员Kevin Beaumont发现了一个恶意的、野生的Bluekeep漏洞,导致他的一个蜜罐在一夜之间崩溃了4次。Metasploit的开发人员Sean Dillon最初将事故归咎于“控制一切的神秘爬行动物力量”。
 
原来我的BlueKeep开发实验室并没有出现熔解补丁,沐鸣开户测速但在野外这可能是最常见的情况。
 
熔毁补丁的副作用无意中破坏了系统连接内核负载,这些负载用于诸如EternalBlue和BlueKeep这样的漏洞。这里有一个可怕的黑客方式来绕过它……但是:它会弹出系统外壳,这样您就可以运行Mimikatz,毕竟这不是它的全部功能吗?
 
递归循环
 
Dillon的帖子提供了一个深入的解释,解释了为什么他的漏洞不能在安装了Meltdown补丁的机器上运行。简而言之,这种缓解通过将用户模式线程的虚拟内存页表与内核内存隔离来实现。异常是内核代码和结构的一个小子集,在执行trap异常、syscalls和类似函数时,必须充分暴露这些代码和结构,以便交换内核页表。由Dillon的Bluekeep漏洞产生的shell代码不是KVA影子代码的一部分,所以用户模式不能对影子代码做出反应。结果,内核陷入了递归循环,直到系统最终崩溃。
 
Dillon已经重写了攻击代码。他希望这个补丁能很快集成到官方的Metasploit Bluekeep模块中。
 
在攻击者开始利用Bluekeep试图在未打补丁的机器上安装加密货币矿工之后,这些崩溃事件才曝光。这些漏洞不会在没有用户交互的情况下从一台计算机传播到另一台计算机,而且如前所述,它们还会导致许多机器崩溃,导致许多人低估了Bluekeep漏洞的潜在严重性。然而,微软的研究人员上周警告称,他们“不能忽视可能导致更有效攻击的增强功能”。他们还表示,“BlueKeep的开发可能会被用于交付比硬币矿工更具影响力和破坏性的有效载荷。”
 
与此同时,也被称为MalwareTech的安全研究员马库斯·哈金斯(Marcus Hutchins)提出了一个令人信服的案例,即Bluekeep的攻击有可能是严重的,即使它们没有像WannaCry和NotPetya那样通过用户交互在计算机之间传播。
 
内部的主
 
WannaCry和NotPetya利用了服务器消息块协议,这在许多桌面计算机中是启用的。相比之下,Bluekeep利用的是Windows的远程桌面服务,这些服务通常只在服务器上打开。
 
Hutchins写道:“由于BlueKeep的局限性,沐鸣开户测速蠕虫不仅会吸引大量的注意力,而且在技术上具有挑战性。”这并不意味着蓝营没有造成重大破坏的潜力。因为服务器通常充当域管理员、网络管理工具,或者与其他网络机器共享相同的本地管理员凭证,所以它们有能力控制大部分网络。
 
Hutchins解释说:“通过破坏网络服务器,使用自动工具在内部进行数据透视几乎总是非常容易的(例如:让服务器向网络上的每个系统释放勒索软件)。”
 
Bluekeep影响Windows 7、Windows Server 2008 R2和Windows Server 2008。这些版本的补丁可以在这里找到。由于其严重性,微软已经为Windows XP、Vista和Server 2003提供了补丁,这些补丁不再受支持。还没有打补丁的人或组织应该尽快打补丁。