援引外媒SecurityWeek報導，將近100萬台設備存在BlueKeep高危漏洞安全隱患，而且已經有黑客開始掃描尋找潛在的攻擊目標。該漏洞編號為CVE-2019-0708，存在於Windows遠程桌面服務（RDS）中，在本月的補丁星期二活動日中已經得到修復。

該漏洞被描述為蠕蟲式（wormable），可以利用RDS服務傳播惡意程序，方式類似於2017年肆虐的WannaCry勒索軟件。目前已經有匿名黑客嘗試利用該漏洞執行任意代碼，並通過遠程桌面協議（RDP）來發送特製請求，在不需要用戶交互的情況下即可控制計算機。

目前微軟已經發布了適用於Windows 7、Windows Server 2008、Windows XP、Windows Server 2003的補丁。Windows 7和Windows Server 2008用戶可以通過啟用Network Level Authentication (NLA)來防止未經身份驗證的攻擊，並且還可以通過阻止TCP端口3389來緩解威脅。

很多專家可以發現了基於BlueKeep的網絡攻擊，不過目前還沒有成熟的PoC。

最初是由0-day收集平台Zerodium的創始人Chaouki Bekrar發現，BlueKeep漏洞無需任何身份驗證即可被遠程利用。

“我們已經確認微軟近期修補的Windows Pre-Auth RDP漏洞（CVE-2019-0708）可被惡意利用。在沒有身份驗證的情況下，攻擊者可以遠程操作，並獲得Windows Srv 2008、Win 7、Win 2003、XP上的SYSTEM權限。啟用NLA可在一定程度上緩解漏洞。最好馬上打補丁，”Bekrar發推文表示。

週六，威脅情報公司GreyNoise開始檢測黑客的掃描活動。其創始人Andrew Morris表示，攻擊者正在使用RiskSense檢測到的Metasploit模塊掃描互聯網，來尋找易受BlueKeep漏洞攻擊的主機。他週六發推說：“僅從Tor出口節點觀察到此活動，其可能由一個黑客執行。”

目前，這些只是掃描，不是實際的利用嘗試。然而，至少有一個黑客投入了相當多的時間和精力來編制易受攻擊的設備列表，為實際的攻擊做準備。至少有6家公司透露已開發出BlueKeep漏洞的利用，並且至少可以在網上找到兩篇非常詳細的關於BlueKeep漏洞細節的文章，所以黑客們開發出自己的利用方式也只是時間問題。

在過去兩周里，infosec社區一直密切關注攻擊跡象、可以簡化RDP漏洞利用以及後續攻擊的PoC代碼的發布。到目前為止，沒有研究人員或安全公司發布此類漏洞的利用代碼。原因顯而易見，它可以幫助黑客展開大規模攻擊。一些公司已經成功開發了Bluekeep漏洞的利用，但打算保密。這些公司包括：Zerodium，McAfee，Kaspersky，Check Point，MalwareTech和Valthek。