大規模Windows RDP漏洞掃描行動現蹤

• 發布日期：108-12-09
• 發布單位：刑事警察大隊

微軟(Microsoft)於5/14公布Windows RDP協定重大漏洞(CVE-2019-0708，也被稱為BlueKeep)後，資安業者GreyNoise於5/27起陸續發現大規模搜尋網路上存在該漏洞之Windows作業系統掃描行動，顯示有駭客可能將利用此漏洞發動攻擊。該漏洞存在於舊版Windows遠端桌面服務(Remote Desktop Service, RDS)中，可使未經授權的攻擊者利用RDP連上目標系統傳送惡意呼叫，於遠端執行任意程式碼、安裝惡意程式、讀取刪改資料或新建具完整權限的用戶帳號。
本漏洞CVSS Score v3風險評分為重大等級的9.8分(滿分10分)，微軟強烈建議用戶應儘速安裝修補程式。除Windows 8與Windows 10外，Windows XP、Server 2003、Windows 7、Windows Server 2008 及2008 R2等作業系統皆受該漏洞影響。微軟本次還破例為停止支援的XP及Server 2003作業系統釋出修補程式。雖然微軟說尚未看到有攻擊情形，不過之前已有卡巴斯基、McAfee及CheckPoint等資安業者，宣稱開發出BlueKeep概念驗證(Proof of Concept, PoC)攻擊程式。GreyNoise創辦人Andrew Morris對大規模掃描行動提出評論，表示攻擊者使用滲透測試工具Metasploit模組掃描BlueKeep漏洞主機，雖然掃描不代表一定是攻擊行動，但極可能為駭客攻擊前兆，呼籲用戶及早安裝修補程式，以策安全。
資料來源參考：
https://www.zdnet.com/article/intense-scanning-activity-detected-for-bluekeep-rdp-flaw/
https://www.ithome.com.tw/news/130930
參考網站：
https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16253