2019年9月7日凌晨,metasploit官方发布CVE-2019-0708漏洞利用代码,该EXP可以通过RDP协议进行远程代码执行攻击.官方描述此漏洞相关危害可参考2017年WannaCry事件,强烈建议用户及时安装补丁以避免受到损失.
漏洞始末
漏洞原理
CVE-2019-0708(远程代码执行漏洞),当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,即可以触发该漏洞.此漏洞属于预身份验证,无需用户交互,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户.
恶意攻击者还很有可能利用该漏洞编写定制的恶意软件,利用此漏洞的恶意软件传播影响都可能与2017年WannaCry恶意软件遍布全球的事件类似,由于EXP的公开发布,需要广大用户更加警惕利用该漏洞的恶意软件的出现,提前做好预防措施.
漏洞时间
2019-5-14 Microsoft发布安全更新公告并披露漏洞.
2019-9-7 EXP发布并复现验证,证实该EXP可导致服务器远程代码执行,特再次发布预警,提供解决方案给广大企业用户.
影响范围
目前受影响的Windows版本:
Microsoft Windows XP
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2003
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 7 for 32-bit Systems SP1
漏洞类型
远程代码执行
漏洞验证
环境准备
Metasploit
EXP对应脚本
Windows 7 x64 旗舰版6.1.7601 Service Pack 1 Build 7601
实操
Metasploit模块重载
该EXP被发布者在Metasploit的官方Github的Pull Request中,但尚未加载进Metasploit的官方框架中. 所以下载EXP对应脚本并进行替换!!!!!直接替换!!!
msf对应位置:
1 | rdp.rb ----> /opt/metasploit-framework/embedded/framework/lib/msf/core/exploit/rdp.rb |
重载模块
msf5>reload_all
漏洞检测
1 | msf5>use auxiliary/scanner/rdp/cve_2019_0708_bluekeep |
漏洞利用
1 | use exploit/windows/rdp/cve_2019_0708_bluekeep_rce |
可能存在问题
* set target 1 - bluescreen(可能出现蓝屏重启)
* set target 3 - success
如果出现下图:
尝试设置: set ForceExploit true
漏洞加固
及时进行补丁更新
Microsoft在2019年5月14日修复了该漏洞
补丁下载地址
以及为已不受微软更新支持的系统(Windows Server 2003和Windows XP)提供的安全更新
补丁下载地址
缓解措施
在无法及时安装微软安全更新的情况下作为临时性解决方案
- 若用户不需要用到远程桌面服务,建议禁用该服务.
- 开启网络级别身份验证(NLA),此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2 以上缓解措施只能暂时性针对该漏洞对系统进行部分缓解,强烈建议在条件允许的情况下及时安装微软安全更新.
参考
1 | https://github.com/rapid7/metasploit-framework/pull/12283?from=timeline&isappinstalled=0 |
若你觉得我的文章对你有帮助,欢迎点击上方按钮对我打赏
扫描二维码,分享此文章