安全专业人士敦促在进入的蓝色漏洞领先

Microsoft敦促IT团队快速行动，以确保针对蓝色未经身份验证的远程代码漏洞来保护关键的Windows系统。

这是在安全研究员凯文博福音观察到由2019年11月2日的Metasploit渗透测试框架的蓝色利用模块造成的蜜罐，这表明现在正在野外被利用。

蓝色keew，也称为CVE-2019-0708，并且已被描述为潜在的漏洞作为Wannacry的漏洞，影响Windows 7，Windows Server 2008和Windows Server 2008 R2上的远程桌面服务。

成功部署，它将允许攻击者运行代码，让他们完成几个目标，包括安装自己的软件程序并创建具有完整管理权的用户帐户。自2019年5月份修补周二以来，贴片已经获得，但是，预测性地，数以万计的系统仍未被删除。

微软表示，它的研究人员增加了与远程桌面协议（RDP）相关的崩溃增加，可能与不稳定的蓝色MetaSploit模块相连，因为在9月6日发布时，在9月6日发布时，内存损坏崩溃的增加10月9日。

它指出，它已经部署了蓝色MetaSploit模块的行为检测，因此其后卫ATP产品的用户应该受到它的保护，而Beaumont观察到它攻击他的蜜罐网络。但是，这并不意味着威胁已经过去了。

“安全信号和法医分析表明，蓝色MetaSploit模块在某些情况下造成崩溃，但我们无法折扣可能导致更有效的攻击的增强功能，”微软的后卫ATP研究团队突出了蓝色守平的发展状况。

“此外，虽然没有其他验证的攻击涉及勒索软件或其他类型的恶意软件，但是，蓝色爆炸可能会用于提供比硬币矿工更有影响和破坏的有效载荷。”

这是对Microsoft发现的9月硬币挖掘活动的引用，该活动联系了10月蓝色护士Metasploit广告系列中使用的相同命令和控制基础架构。如果这种利用不会导致系统崩溃，则观察到安装硬币矿工。微软表示，9月份攻击可能会发起作为易受互联网的RDP服务的机器的港口扫描。

发现一旦发现，攻击者使用蓝色MetaSploit模块运行一系列PowerShell脚本，最终导致硬币矿工下载。有效载荷主要在法国和俄罗斯看到，而且在英国，这是托管托管控制的服务器似乎所在的英国。

“只要系统仍然没有被咬合，”蓝色待遇将是一个威胁，没有实现凭证卫生，并且整体安全姿势不会被支票，“微软说。

“鼓励客户立即识别和更新易受攻击的系统。许多这些未划分的设备可能是供应商和其他第三方放置的未解压的RDP设备，以偶尔管理客户系统。

“因为在不留下明显迹线的情况下可以剥削蓝色守护人员，客户还应该彻底检查可能已经被感染或妥协的系统。”