CVE-2019-0708微软RDP远程代码执行漏洞复现


前言

BlueKeep(CVE-2019-0708)是微软远程桌面协议(RDP)实现中发现的一个安全漏洞,它允许远程执行代码。
第一次于2019年5月被报告,它存在于从Windows 2000到Windows Server 2008 R2和Windows 7的所有未修补的基于Windows NT的Windows版本中。而2019年9月6日,BlueKeep的EXP脚本被公开。

复现

早上起来朋友圈被rapid7公布2019-0708漏洞的exp刷屏了,赶紧复现一波。首先这个exp代码是别人pull requests的,还并没有合并到主分支,自动更新是没有的,所以需要手动添加,作者发的一共有4个文件:
  • https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb
  • https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb

  • https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

  • https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

在kali的metasploit中复现。首先,需要替换文件,替换之前建议执行下msfupdate,更新到最新版本,确保代码一致。
rdp.rb替换/usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb
rdp_scanner.rb替换/usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb
cve_2019_0708_bluekeep.rb替换/usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
最后一个是rce的exp,需要添加,
/usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
如果自己手动安装msf的话,找到安装目录,进去替换。

之后执行msfconsole,在使用前执行reload_all,新加的模块重载进来。

use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
info查看信息,目前的exp仅支持64位win 7 sp 1,2008 R2

之后就是靶机,目标系统类型
set RHOSTS x.x.x.x
show targets
set target 1


因为当前用parallels desktop,设置target为 1,在测试时候发现会发大概250M的包,类型选对了,还是会有概率发生蓝屏的现象。

修复建议

  1. 安装微软为2019-0708推出的专用补丁:
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
  2. 如果安装补丁不成功,或者因为其他原因不能安装补丁,建议采取缓解措施,win7或win server 2008 r2里选择“我的电脑”→“属性”→“远程设置”→“远程”,启用网路级认证(NLA),这样需要一个远程桌面用户认证后,才能进行攻击。


参考链接

  • https://github.com/rapid7/metasploit-framework/pull/12283
  • https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

  • https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/


本文作者:ChaMd5安全团队

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/115590.html

Tags:
评论  (0)
快来写下你的想法吧!

ChaMd5安全团队

文章数:53 积分: 171

www.chamd5.org 专注解密MD5、Mysql5、SHA1等

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号