Windows遠程桌面服務漏洞(CVE-2019-0708)復現測試

2021-01-08 企業安全運維

1

漏洞概述

2019年5月14日,微軟發布了針對遠程桌面服務的關鍵遠程執行代碼漏洞CVE-2019-0708的補丁,該漏洞影響某些舊版本的Windows。攻擊者一旦成功觸發該漏洞,便可以在目標系統上執行任意代碼,該漏洞的觸發無需任何用戶交互操作。這就意味著,存在漏洞的計算機只要聯網,無需任何操作,就可能遭遇黑客遠程攻擊,運行惡意代碼。其方式與2017年WannaCry惡意軟體的傳播方式類似。成功利用此漏洞的攻擊者可以在目標系統完成安裝應用程式,查看、更改或刪除數據,創建完全訪問權限的新帳戶等操作。

2

影響範圍

該漏洞影響舊版本的Windows系統,包括:

Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP。

Windows 8和Windows 10及之後版本不受此漏洞影響。

3

漏洞修複測試

測試環境

將下載的exp分別放入或替換:

/usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb

/usr/share//metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb

/usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

4

Msf升級

使用命令msfupdate,按提示,apt update;

apt install Metasploit-framework,最後reload_all就可以了。

啟動Metasploit

用search搜索0708,使用use exploit/windows/rdp/cve_2019_0708_bluekeep_rce啟用0708RDP模塊攻擊

用show options進行參數設置

這裡只需要設置兩項,set rhosts 目標ip(我這裡是192.168.106.149),以及set target 3

set target ID數字(可選為0-4)設置受害機機器架構,wmware=3,Virtualbox=2

成功利用。

到目前公開的利用代碼可用於攻擊 Windows 7 SP1 x64 與 Windows 2008 R2 x64的EXP不太穩定,針對 Windows 7 SP1 x64攻擊有藍屏現象。

復現過程中出現的一些問題解決方法:

如提示Exploit failed: NameError undefined local variable or method `rdp_connect' for,則需要替換下載的exp(4個rb文件);

如提示ForceExploit錯誤,需要將ForceExploit設置為true;

Windows2008 R2 x64 需要修改[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TerminalServer\WinStations\rdpwd\fDisableCam]值為0。

5

修復漏洞更新補丁

安裝微軟的安全更新來給系統打上安全補丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

同時針對已不受微軟更新支持的系統Windows Server 2003和Windows XP提供的安全更新,下載地址:

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

緩解措施(在無法及時安裝微軟安全更新的情況下作為臨時性解決方案)

1.若用戶不需要用到遠程桌面服務,建議禁用該服務。

2.開啟網絡級別身份驗證(NLA),此方案適用於Windows 7, Windows Server 2008, Windows Server 2008 R2。

以上措施只能暫時性針對該漏洞對系統進行部分緩解,強烈建議在條件允許的情況下及時安裝微軟安全更新。

6

相關參考

@rapid7 Add initial exploit for CVE-2019-0708, BlueKeep #12283

相關焦點

  • 漏洞預警 | 微軟 CVE-2019-0708 高危漏洞
    一、安全公告2019年5月14日,微軟發布了本月安全更新補丁,其中包含一個RDP(遠程桌面服務)遠程代碼執行漏洞的補丁更新,對應CVE編號:CVE-2019-0708,相關信息連結:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory
  • ...桌面服務重磅漏洞CVE-2019-0708可被利用,深信服支招企業如何應對
    Windows遠程桌面服務重磅漏洞CVE-2019-0708可被利用,深信服支招企業如何應對 2019年09月09日 14:55作者:黃頁編輯:黃頁
  • 白帽子黑客帶你:遠程桌面漏洞利用與Win7計算機攻防實戰下集
    2.2 檢索有關遠程桌面的已知漏洞2.3 使用檢索到的關於遠程桌面的漏洞利用模塊,如下圖所示。命令:use exploit/windows/rdp/cve_2019_0708_bluekeep_rce2.15 遠程桌面漏洞防護措施
  • 白帽子黑客帶你:遠程桌面漏洞利用與Win7計算機攻防實戰下集
    命令:msfconsole2.2 檢索有關遠程桌面的已知漏洞,如下圖所示。命令:search 07082.3 使用檢索到的關於遠程桌面的漏洞利用模塊,如下圖所示。命令:use exploit/windows/rdp/cve_2019_0708_bluekeep_rce2.4 查看攻擊目標需要設置的參數,如下圖所示。命令:show targets2.5 設置相關攻擊參數,如下圖所示。
  • Windows SMBv3 remote Exploit (cve-2020-0796)漏洞成功復現
    今天上午發了個視頻,cve-2020-0796的漏洞復現。。本地可以提權,很可惜的是遠程是藍屏。今天下午測試了一下遠程的exp,也成功執行了。我用的exp是https://github.com/chompie1337/SMBGhost_RCE_PoC。測試環境是我下載了一個win10的1909版的虛擬機鏡像。由於頭條裡不讓放迅雷之類的連結,所以大家自行搜索吧。
  • 【高危預警】Windows RDP遠程漏洞可致藍屏 POC目前已公開
    2019年5月14日,微軟發布了遠程桌面服務遠程代碼執行漏洞(CVE-2019-0708)安全公告後,全球安全圈都持續密切關注,這一漏洞的存在將允許黑客通過開放的遠程桌面服務直接入侵系統,執行任意命令。
  • CCERT月報:Windows遠程桌面服務存在高危漏洞
    公告中需要特別關注的是Windows遠程桌面服務中存在的四個高危漏洞(CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226)。未經身份驗證的攻擊者利用上述漏洞,向目標Windows主機發送惡意構造請求,可以在目標系統上執行任意代碼。由於這些漏洞存在於RDP協議的預身份驗證階段,其利用過程無需進行用戶交互操作,可被利用來進行大規模的蠕蟲攻擊。
  • 永恆之黑:CVE-2020-0796漏洞復現
    漏洞介紹3月12日,微軟披露了一個最新的SMBv3(3.1.1)遠程代碼執行漏洞(CVE-2020-0796),俗稱「永恆之黑」。本漏洞源於SMBv3沒有正確處理壓縮的數據包,在解壓數據包的時候使用客戶端傳過來的長度進行解壓時,並沒有檢查長度是否合法,最終導致整數溢出。
  • Metasploit漏洞掃描與復現
    漏洞掃描過程2.漏洞分析過程3.漏洞復現過程一、環境準備好,首先我們得準備好環境當前我們在虛擬機中開啟了kali,和kali的靶機kali攻擊主機192.168.179.130漏洞靶機192.168.179.131二、漏掃掃描好都準備好了,根據日常滲透經驗,首先我們使用
  • 微軟一高危漏洞預警 XP、Windows 7等系統受影響(附解決方案)
    5月14日,微軟發布補丁修復了一個遠程桌面服務高危漏洞(CVE-2019-0708),該漏洞影響部分Windows作業系統。微軟將此漏洞定義為嚴重級別,強烈建議廣大用戶及時更新,以免遭受攻擊。當未經身份驗證的攻擊者使用遠程桌面連接到目標系統並發送特製請求時,可以在目標系統上執行任意代碼。此漏洞是預身份驗證,無需用戶交互。根據微軟Windows IT專業中心的說法,「遠程桌面服務(RDS)是為每個終端客戶需求構建虛擬化解決方案的首選平臺,包括提供單獨的虛擬化應用程式,提供安全的移動和遠程桌面訪問,以及為最終用戶提供從雲端運行它們應用程式和桌面的能力。」
  • 微軟警告Windows遠程桌面服務中存在兩個新的缺陷
    近期,微軟修補了另外兩個類似BlueKeep的安全漏洞,即CVE-2019-1181和CVE-2019-1182先科普一下BlueKeep。2019年5月14日,微軟發布補丁修復了一個遠程桌面服務高危漏洞(CVE-2019-0708)(又名:BlueKeep)。
  • 「網絡安全預警通報」微軟系統遠程桌面服務存在遠程代碼執行漏洞
    北京網絡與信息安全信息通報中心通報,2019年05月15日,微軟公司官方發布了5月安全更新補丁,此次更新共修復了82個漏洞,其中Windows作業系統遠程桌面服務漏洞(CVE-2019-0708)威脅程度較高,攻擊者可以利用此漏洞遠程無需用戶驗證通過發送構造特殊的惡意數據在目標系統上執行惡意代碼
  • 「最新漏洞簡訊」Windows域名系統伺服器漏洞(CVE-2020-1350)
    情報編號:H1020200715漏洞概述CVE-2020-1350是Windows DNS伺服器中的嚴重遠程執行代碼(RCE)漏洞,官方分類為「可蠕蟲級」高危漏洞,CVSS基本得分為 10.0。此問題是由Microsoft的DNS伺服器角色實現中的缺陷引起的,並影響所有Windows Server版本。
  • 漏洞掃描利用
    這篇文章著重介紹通過OpenVas掃描出來漏洞之後,如何利用這些漏洞達到獲取被入侵機器&34;的shell(也就是控制權)。-0708漏洞,這是一個由微軟的RDP服務引起的任意代碼執行漏洞,漏洞的詳細信息如下。
  • CVE-2020-16898 Windows tcp/ip遠程代碼執行漏洞復現
    No.1 環境搭建攻擊機:windows 10(python版本:3.7,安裝了scapy依賴)受害機環境:windows10 1909No.2 漏洞分析2.1 漏洞背景2020年10月14日,某監測發現 Microsoft 發布了 TCP/IP遠程代碼執行漏洞的風險通告,該漏洞是由於Windows TCP/IP堆棧在處理IMCPv6 Router Advertisement(路由通告)數據包時存在漏洞,遠程攻擊者通過構造特製的
  • (CVE-2020-0618)SQL Server 遠程代碼執行復現
    0x00簡介2月12日,微軟發布安全更新披露了Microsoft SQL Server Reporting Services 遠程代碼執行漏洞(CVE-2020-0618)。,可利用此漏洞在報表伺服器服務帳戶的上下文中執行任意代碼。
  • tomcat CVE-2020-1938漏洞復現
    文件包含漏洞之——tomcat CVE-2020-1938漏洞復現2月20日,國家信息安全漏洞共享平臺(CNVD)發布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938),這個漏洞是由於Tomcat AJP協議存再缺陷而導致,而攻擊者利用該漏洞通過構造特定參數,讀取伺服器webapp下的任意文件,若目標伺服器存在文件上傳功能,攻擊者可以進一步實現遠程代碼執行。
  • Windows重大漏洞需用戶立即更新,僅Windows 8/10不受影響
    PingWest品玩5月15日訊,微軟發布了針對遠程桌面(RDP)服務遠程代碼執行漏洞CVE-2019-0708的修復補丁,該漏洞由於屬於預身份驗證且無需用戶交互,因此可以通過網絡蠕蟲方式被利用,與2017年爆發的WannaCry惡意軟體的傳播方式類似,這意味攻擊可在用戶不知情的情況下進行。攻擊者可利用該漏洞安裝程序、查看、更改或刪除數據、或者創建擁有完全用戶權限的新帳戶。
  • Windows證書對話框權限提升-CVE-2019-1388
    我是阿遠,今天給大家介紹一下Windows證書對話框的漏洞!漏洞原理用windows系統的guest來賓用戶提權到system系統用戶該Bug可在UAC(用戶帳戶控制)機制中找到。默認情況下,Windows在稱為「安全桌面」的單獨桌面上顯示所有UAC提示。
  • CVE-2020-0796:SMBv3的RCE漏洞,下一個EternalBlue?
    轉載:nosec 作者:iso60001近日,微軟公布了在Server Message Block 3.0(SMBv3)中發現的「蠕蟲型」預授權遠程代碼執行漏洞。目前該漏洞已在本月的安全補丁中被修復。該漏洞是由於SMBv3協議在處理惡意的壓縮數據包時出錯所造成的,它可讓遠程且未經身份驗證的攻擊者在目標系統上執行任意代碼。儘管微軟並沒有發布更加詳細的漏洞建議,但一些早先得知了漏洞信息處於微軟主動保護計劃中的安全供應商發布了有關CVE-2020-0796安全漏洞的詳細信息。