“微软确认Windows BlueKeep攻击告诉客户立即打补丁”

微软全球安全专家互联网微软安全智能系统要求推特立即为windows客户打补丁。 此外，微软开发商ATP研究小组对正在进行的蓝牙攻击进行了详细确认，9月发现的此次攻击活动与早期攻击活动的联系更加紧密。

11月3日，微软、国家安全局( nsa )、美国政府警告的windows bluekeep漏洞攻击正在进行中。 目前，微软明确了如何与安全研究者合作，安全研究者首先发现了bluekeep蜜罐的崩溃正在攻击中。 最初的调查和分解确认了崩溃是由蓝牙漏洞利用模块引起的。

微软蓝牙攻击确认

据微软供应商ATP研究小组介绍，微软于9月初引进了与微软供应商ATP相关的蓝牙Metasploit模块的行为检测。 但是，从9月6日开始，metasploit模块发布后，微软观察到该检测被触发，收集重要的安全信号并开始分析。 根据该分析，远程桌面服务( rdp )的崩溃每天从10个增加到100个。 之后，情况变得相对平静，到10月9日为止，观察到内存损坏的崩溃也有同样的上升。 然后，外部研究者蜜罐的崩溃于10月23日开始。

微软安全研究员在9月份初期的硬币开采活动中采用的10月份与蓝牙通讯活动中，采用了同样的命令和控制基础设施的主要植入规定的报告，其中利用不会导致系统崩溃，设置了硬币开采机， 微软的研究人员得出结论，同一攻击者应对这两次攻击活动负责。 在所有情况下，投币机都与位于以色列的控制基础设施连接。

蓝牙蠕虫的威胁

正如我前面所说，攻击者似乎正在寻找rdp 3389端口暴露在网络上、易受攻击、未修补的windows系统。 因为这个蓝牙蠕虫的威胁还没有实现。 另外，建议攻击背后的威胁行为者可能会转向投掷比加密矿工更多的恶意有效载荷，并且没有修复500，000多个易受攻击的windows系统。 微软目前非常重视这一警告。 微软的defender atp研究小组在撰写这篇文章时，还没有针对恐吓软件和其他类型的恶意软件的经过验证的攻击，但蓝牙漏洞提供的有效载荷比投币矿工具有更大的影响力和破坏力

蓝牙漏洞利用缓解措施

微软表示，它鼓励运行windows 7、windows server 2008或windows server 2008 r2的计算机的客户立即识别和更新易受攻击的系统 微软还承认，多个未打补丁的设备可能是供应商或其他第三方未监控的设备，因此有时管理客户服务并不容易。 无论您如何了解互联网，都必须找到这些设备，然后在攻击者将旋钮调整为11个之前进行搜索。 缓解建议与5月14日微软发布用于修复蓝牙漏洞的安全补丁后的建议相同