รวมข่าว BlueKeep ระหว่างวันที่ 1 – 11 พฤศจิกายน 2019

 

รวมข่าว BlueKeep ระหว่างวันที่ 1 - 11 พฤศจิกายน 2019

BlueKeep คืออะไร

BlueKeep หรือช่องโหว่ CVE-2019-0708 เป็นช่องโหว่ที่สามารถรันคำสั่งอันตรายจากระยะไกลได้ พบใน Remote Desktop Services กระทบ Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 และ Windows XP

ช่องโหว่นี้ได้รับแพตช์ความปลอดภัยแล้วเมื่อเดือนพฤษภาคม 2019 ที่ผ่านมา โดยช่องโหว่นี้มีคำเตือนให้ผู้ใช้งานเร่งอัปเดตเพราะว่าช่องโหว่นี้สามารถเอามาทำเวิร์มแพร่กระจายได้เหมือน WannaCry ที่ใช้ช่องโหว่ CVE-2017-0144 EternalBlue (Remote Code Execution ใน SMB)

พบการโจมตีด้วยช่องโหว่ BlueKeep แล้ว

2 พฤศจิกายน 2019 Kevin Beaumont นักวิจัยผู้ตั้งชื่อเล่นให้ CVE-2019-0708 ว่า BlueKeep เปิดเผยการค้นพบการโจมตีด้วยช่องโหว่ BlueKeep บน honeypot ที่เขาเปิดล่อเอาไว้ทั่วโลกตั้งแต่เดือนพฤษภาคม 2019 ซึ่งการโจมตีครั้งนี้ทำให้เหล่า honeypot เกิดจอฟ้า

จากการวิเคราะห์ crash dump ที่ได้จากเหล่า honeypot พบว่าการโจมตีดังกล่าวยังไม่ได้แพร่โดยเวิร์ม แต่เกิดจากการใช้ Metasploit พยายามรันคำสั่งอันตรายเพื่อติดตั้งมัลแวร์ขุดเหมือง เนื่องจากโมดูลสำหรับโจมตีด้วย BlueKeep ใน Metasploit ยังไม่ค่อยเสถียร เลยทำให้เกิดจอฟ้า

อ่านต่ออย่างละเอียด thehackernews

ไม่ใช่เวิร์มแต่ก็อันตรายนะ ไมโครซอฟต์ออกมาเตือนอีกรอบ

8 พฤศจิกายน 2019 ไมโครซอฟต์ออกรายงานวิเคราะห์การโจมตี BlueKeep ร่วมกับ Kevin Beaumont และ Marcus Hutchins ด้วยมัลแวร์ขุดเหมืองดังกล่าว พร้อมกับเตือนให้ผู้ใช้งานเร่งแพตช์ เพราะต้องมีการโจมตีที่รุนแรงกว่านี้ตามมาแน่นอน

อ่านต่ออย่างละเอียด https://www.microsoft.com/security/blog/2019/11/07/the-new-cve-2019-0708-rdp-exploit-attacks-explained/

นักวิจัยชี้ มีคนโจมตีด้วย BlueKeep แล้วแต่ก็ยังไม่มีใครรีบแพตช์ไปกว่าเดิม

10 พฤศจิกายน 2019 Jan Kopriva จาก SANS Institute เขียนบล็อกสรุปสถิติโดยใช้ Shodan แสกนหาเครื่องที่มีช่องโหว่ BlueKeep พบว่าถึงแม้จะมีข่าวการโจมตีออกมาแล้ว ก็ยังไม่มีจำนวนเครื่องที่มีช่องโหว่ลดลงอย่างมีนัยสำคัญ

อ่านต่ออย่างละเอียด isc.sans.edu

ในขณะนี้ (12 พฤศจิกายน 2019 20:25 น.) เมื่อแสกนด้วย binaryedge.io พบเครื่องมีช่องโหว่ BlueKeep ในประเทศไทย 3,129 เครื่อง ลดลงไปราวๆ ครึ่งหนึ่งจากที่เคยแสกนเมื่อ 9 กันยายน 2019 เวลา 11:56 น. ว่ามี 6,622 เครื่องมาจากประเทศไทย

เตรียมแก้โมดูลสำหรับโจมตีด้วย BlueKeep ใน Metasploit ให้ลดการเกิดจอฟ้า

11 พฤศจิกายน 2019 Sean Dillon ผู้เขียน proof-of-concept ซึ่งเป็นต้นกำเนิดสำหรับโจมตีด้วย BlueKeep ใน Metasploit ทราบสาเหตุของปัญหาที่การใช้โมดูลนี้โจมตีแล้วเครื่องเป้าหมายจอฟ้าแล้วว่ามาจากการที่ตัวโค้ดโจมตีไม่รองรับเครื่องที่แพตช์ช่องโหว่ Meltdown โดยคาดว่าทาง Metasploit จะอัปเดตโมดูลภายในสัปดาห์นี้

อ่านต่ออย่างละเอียด zdnet