目前，针对臭名昭著的BlueKeep漏洞的唯一公开概念证明代码是Metasploit渗透测试框架的一个模块。

RissuenseSecurity的研究员SeanDillon(@Zerous0x0)捐赠的概念验证代码将BlueKeepMetaLink模块组合在一起。

在开发工作中，它有一个缺点，那就是在某些系统上，它可以用蓝色BSOD错误使目标崩溃，而不是为攻击者提供远程外壳。

这个BSOD错误是安全研究员凯文博蒙特上周在现实世界中发现的第一个基于Blue Keep的攻击，因为他注意到他的11个RDP蜜罐中有10个由于BSOD错误而丢失。

然而，本周，BlueKeepMetaLUN模块将修复此错误。修正了BSOD错误，使BlueKeep攻击更加可靠。

在上周末接受ZDNet采访时，迪伦表示，BSOD错误的根本原因是微软的崩溃和英特尔的CPU bug补丁。

狄龙对ZDNET说，从分析马库斯“恶意软件技术”哈钦斯所做分析的屏幕截图中，我们知道代码执行是成功的，蜜罐崩溃是因为利用了漏洞，不支持内核。

他说：“BlueKeepMetasploit的未来发展将支持为崩溃而修补的内核，即使没有KVA阴影缓解旁路。”

新的Blue Keep漏洞改变了Blue Keep攻击前期的漏洞套路，所以它甚至不需要崩溃补丁绕过。狄龙对ZDNet说，深入技术细节：

“对于[BlueKeep]使用有效负载从内核模式转换到传统用户模式的有效负载(如反向TCP shell回调)，我们正在以崩溃KVA阴影缓解不允许的方式更改系统调用寄存器。在为KVA阴影缓解写了一个旁路之后，有人指出，可以在根本不挂钩系统调用的情况下写以利用有效负载。事实上，对崩溃旁路的需求实际上是不必要的，这也是漏洞开发早期阶段错误假设的一部分——这是要进行的修复。”

狄龙预计将在本周晚些时候更新BlueKeep模块。在狄龙的个人博客上，也提供了对BlueKeepBSOD根本原因的深度技术理解。

这意味着对我们所有人来说都很明显。BlueKeep的公开开发更加可靠，这意味着攻击者有更高的机会闯入运行至少一个易受攻击系统的公司。

正如哈钦斯上周在推特上指出的那样，网络安全社区对微软最初的警告给予了太多关注：BlueKeep可用于创建“可用的恶意软件”。

因此，大家都没有注意到，即使攻击者没有创建基于蓝牙的蠕虫，BlueKeep仍然是一个主要威胁，不应该被忽视。

哈钦斯说：“我并不真的担心虫子。我担心可能会发生什么。”

“BlueKeep的大多数易受攻击的设备都是服务器。一般来说，Windows服务器可以控制网络上的设备。它们或者由域管理，或者安装了网络管理工具，或者与网络的其他部分共享相同的本地管理凭据。通过破坏网络服务器来使用自动工具进行内部轮换几乎总是非常容易的(例如：将服务器Ransomware放在网络上的每个系统上)，”他补充道。

Bluekeep的真正风险不是蠕虫。蠕虫没有意义，而且很吵。哈钦斯说，一旦攻击者进入网络，他们可以用标准的自动化工具造成更大的破坏，而不是用BlueKeep。

“还记得所有那些关于整个网络的新闻故事都是骗人的吗？它始于一个被黑的单一系统。即使是一个服务器，一个正常的，不受管理的客户端系统。攻击者不需要蠕虫。

人们需要停止担心蠕虫，开始担心基本的网络安全。断开服务器与互联网的连接，以获取有关凭据个人卫生的信息。蠕虫偶尔会发生，但只有通过使用标准工具，整个网络每天都会受到影响。'

当消息爆出Bluekeep在野外采矿时，大部分人的反应基本上都是‘这不是bug，所以不重要’。我决定成为一个线索来解释为什么它是错误的，为什么蠕虫甚至不是最坏的情况。线程：