详细内容或原文请订阅后点击阅览
在野外发现 BlueKeep (CVE 2019-0708) 漏洞利用
概述 自从 Microsoft Windows RDP CVE 2019-0708 中一个令人震惊的漏洞(称为 BlueKeep)被修补以来,已经过去了近六个月。今天,安全研究员 Kevin Beaumont 在 Twitter 上发布了一个帖子,报告了他的 BlueKeep 蜜罐网络中的 BSOD(蓝屏死机)。嗯,EternalPot RDP 蜜罐最近都开始出现 BSOD 了。它们仅公开端口 3389。pic.twitter.com/VdiKoqAwkr— Kevin Beaumont (@GossiTheDog) 2019 年 11 月 2 日 Kevin 好心地与我们分享了崩溃转储,根据这一线索,我们发现该样本正被用于大规模利用尝试。
来源:Kryptos Logic _恶意软件概述
自从 Microsoft Windows RDP CVE 2019-0708 中一个令人震惊的漏洞(称为 BlueKeep)被修补以来,已经过去了近六个月。今天,安全研究员 Kevin Beaumont 在 Twitter 上发布了一条帖子,报告他的 BlueKeep 蜜罐网络中出现了 BSOD(蓝屏死机)。
Kevin Beaumont嗯,EternalPot RDP 蜜罐最近都开始出现 BSOD。它们只暴露了端口 3389。pic.twitter.com/VdiKoqAwkrâ Kevin Beaumont (@GossiTheDog) 2019 年 11 月 2 日
嗯,EternalPot RDP 蜜罐最近都开始出现 BSOD。它们仅暴露端口 3389。pic.twitter.com/VdiKoqAwkr
pic.twitter.com/VdiKoqAwkr— Kevin Beaumont (@GossiTheDog) 2019 年 11 月 2 日
2019 年 11 月 2 日Kevin 好心地与我们分享了崩溃转储,根据这一线索,我们发现该样本正被用于大规模利用。由于只启用了较小尺寸的内核转储,因此很难找到明确的根本原因。
崩溃转储调用堆栈
从初步观察来看,分析的调用堆栈似乎不对。值得注意的是,地址 0x1aec08 未分配,或者在转储中不存在。相反,我们决定查看带有 TSic 标记的池分配,这是 Windows RDP 驱动程序 termdd.sys 中的 IcaAllocateChannel 使用的池标记。
0x1aec08
TSic
池标记
IcaAllocateChannel
termdd.sys
带有标记 `TSic` 的分配片段查看 TSic 分配,显然有些不对劲。在正常情况下,带有 TSic 标记的分配应该少于 100 个,但在这种情况下有超过 19,000 个,这表明存在漏洞。
带有标签 `TSic` 的分配片段
TSic
TSic
MS_T120
0x170 字节分配之一内部
正如预期的那样,该分配是可利用的 MS_T120 通道的有效通道结构。
MS_T120
fffffa80`08807048