Phát hiện worm BlueKeep tấn công honeypot

0
5
Phát hiện worm BlueKeep tấn công honeypot

Các nhà nghiên cứu an ninh nhận thấy những dấu hiệu cho thấy mã độc tự sao chép đang khai thác các hệ thống Windows chưa được vá tồn tại BlueKeep (lỗ hổng giao thức máy tính từ xa).

Đầu tháng 10, nhà nghiên cứu an ninh mạng Kevin Beaumont của OpenSecurity.global đăng tải trên Twitter về việc nhiều honeypot EternalPot RDP bị hiện tượng màn hình xanh chết chóc BSoD tại tất cả khu vực được triển khai, trừ Australia.

Marcus Hutchins, nhà nghiên cứu từng khống chế cuộc tấn công ransomware WannaCry, phân tích và đặt ra nghi vấn sự cố có liên quan đến một mã độc BlueKeep.
Phân tích sâu hơn, Hutchins xác nhận đây là một mã khai thác BlueKeep, xuất hiện khoảng sáu tháng sau khi lỗ hổng được công bố.

Mã độc được phát tán theo cách thức lây lan của worm, thực thi một loạt các lệnh Windows PowerShell được mã hóa.

Beaumont cho hay: “Chúng tôi đã tìm thấy mã khai thác BlueKeep trên thực tế tại mọi quốc gia có triển khai honeypot RDP (trừ Úc). Đã có hơn 724.000 hệ thống kết nối internet chưa được vá lỗ hổng BlueKeep này”.

Quản trị viên được khuyến cáo vá các hệ thống nội bộ để ngăn chặn BlueKeep, vì worm cũng có thể lây lan sang các hệ thống này.

Microsoft từng cảnh báo BlueKeep là lỗ hổng cực kỳ nghiêm trọng và có thể dẫn đến một thảm họa WannaCry khác, thậm chí là tệ hơn.

Các bản vá vừa được phát hành cho các hệ thống Windows có lỗ hổng, bao gồm Windows XP và Windows Server 2003, cả hai đều không còn được hỗ trợ.

Nguồn ITnews