Struts2远程命令执行漏洞,微软为何决定彻底禁用RemoteFX vGPU功能

微软今日推出了面向 Windows 10 和 Windows Server 的累积更新Struts2远程命令执行漏洞,除了常规的修补程序和安全补丁,本次更新还正式禁用了 RemoteFX vGPU 功能。

Struts2远程命令执行漏洞,微软为何决定彻底禁用RemoteFX vGPU功能

软件巨头解释称,此举是为了封堵相关的安全漏洞。因为 RemoteFX vGPU 中有一个影响所有 Windows Server 版本的安全漏洞,允许攻击者在受影响系统上执行任意代码。

CVE-2020-1035 公告称:鉴于尚无针对此漏洞的补丁程序,微软决定先行彻底禁用该功能,以消除所有潜在的安全风险。

当主机服务器上的 Hyper-V RemoteFX vGPU 无法正确验证来宾操作系统上经过身份验证的用户输入时,就会敞开一个远程代码执行漏洞。

攻击者可借此在客户机操作系统上运行经过特殊设计的应用程序,从而攻击在 Hyper-V 主机上运行的某些第三方视频驱动程序,最终导致在主机操作系统上执行任意代码。

庆幸的是,微软声称尚未听闻任何野外利用和攻击,且理论上实现的可能性较小。

要成功利用该漏洞,攻击者必须让一款精心制作的应用程序在公开的系统上运行。因而只需阻止此类尝试,便可确保用户的数据安全。

据悉,RemoteFX vGPU 是在 Windows 7 上首次亮相的一个功能,其允许多个虚拟机使用同一块物理 GPU 。

然而由于安全方面的问题,微软已决定逐步淘汰该功能,并于 Windows 10 1809 和 Windows Server 2019 中开始弃用。

需要注意的是,尽管今日的更新已经默认禁用了该公司,但在 2021 年 2 月份之前,用户仍可通过 Hyper-V 管理器、或 PowerShell cmdlet 来手动启用 RemoteFX vGPU 。

不过在 2021 年 2 月 9 日之后,微软将在操作系统中彻底移除该功能,届时所有用户都将无法再次启用 RemoteFX vGPU 。在这段过渡时期,微软建议所有用户尽快迁移至替代的 vGPU 系统。

援引外媒SecurityWeek报道,将近100万台设备存在BlueKeep高危漏洞安全隐患,而且已经有黑客开始扫描寻找潜在的攻击目标。该漏洞编号为CVE-2019-0708,存在于Windows远程桌面服务(RDS)中,在本月的补丁星期二活动日中已经得到修复。

Struts2远程命令执行漏洞,微软为何决定彻底禁用RemoteFX vGPU功能

Struts2远程命令执行漏洞,微软为何决定彻底禁用RemoteFX vGPU功能

该漏洞被描述为蠕虫式(wormable),可以利用RDS服务传播恶意程序,方式类似于2017年肆虐的WannaCry勒索软件。目前已经有匿名黑客尝试利用该漏洞执行任意代码,并通过远程桌面协议(RDP)来发送特制请求,在不需要用户交互的情况下即可控制计算机。

Struts2远程命令执行漏洞,微软为何决定彻底禁用RemoteFX vGPU功能

目前微软已经发布了适用于Windows 7、Windows Server 2008、Windows XP、Windows Server 2003的补丁。Windows 7和Windows Server 2008用户可以通过启用Network Level Authentication (NLA)来防止未经身份验证的攻击,并且还可以通过阻止TCP端口3389来缓解威胁。

很多专家可以发现了基于BlueKeep的网络攻击,不过目前还没有成熟的PoC。

最初是由0-day收集平台Zerodium的创始人Chaouki Bekrar发现,BlueKeep漏洞无需任何身份验证即可被远程利用。

“我们已经确认微软近期修补的Windows Pre-Auth RDP漏洞(CVE-2019-0708)可被恶意利用。在没有身份验证的情况下,攻击者可以远程操作,并获得Windows Srv 2008、Win 7、Win 2003、XP上的SYSTEM权限。启用NLA可在一定程度上缓解漏洞。最好马上打补丁,”Bekrar发推文表示。

周六,威胁情报公司GreyNoise开始检测黑客的扫描活动。其创始人Andrew Morris表示,攻击者正在使用RiskSense检测到的Metasploit模块扫描互联网,来寻找易受BlueKeep漏洞攻击的主机。他周六发推说:“仅从Tor出口节点观察到此活动,其可能由一个黑客执行。”

目前,这些只是扫描,不是实际的利用尝试。然而,至少有一个黑客投入了相当多的时间和精力来编制易受攻击的设备列表,为实际的攻击做准备。至少有6家公司透露已开发出BlueKeep漏洞的利用,并且至少可以在网上找到两篇非常详细的关于BlueKeep漏洞细节的文章,所以黑客们开发出自己的利用方式也只是时间问题。

在过去两周里,infosec社区一直密切关注攻击迹象、可以简化RDP漏洞利用以及后续攻击的PoC代码的发布。到目前为止,没有研究人员或安全公司发布此类漏洞的利用代码。原因显而易见,它可以帮助黑客展开大规模攻击。一些公司已经成功开发了Bluekeep漏洞的利用,但打算保密。 这些公司包括:Zerodium,McAfee,Kaspersky,Check Point,MalwareTech和Valthek。

2022-06-10

2022-06-10