[TOC]
1. 远程代码执行|CVE-2019-0708
描述:北京时间2019年5月15日,Windows再次被曝出一个破坏力巨大的高危远程漏洞CVE-2019-0708。 危害:
- 漏洞的触发无需用户交互(极大提高成功概率),攻击者一旦成功利用该漏洞,便可以在目标系统上执行任意代码,包括获取敏感信息、执行远程代码、发起拒绝服务攻击等等攻击行为,还能与挖矿蠕虫与勒索蠕虫病毒联合利用攻击;
- 由于该漏洞是预身份认证,且不需要用户交互,可以在不需要用户干预的情况下远程执行任意代码。
- 这就意味着利用该漏洞可制作成自动化、大规模、无条件攻击的蠕虫,并会迅速像野火一样蔓延至整个网络,最终将可能导致当年“永恒之蓝”漏洞武器造成的WannaCry勒索蠕虫病毒攻击的再度重演。
影响范围:
- Windows 7
- Windows Server 2008 R2
- Windows Server 2008
- Windows 2003
- Windows XP
漏洞监测:360Vulcan Team Windows远程桌面协议漏洞的检测程序
代码语言:javascript复制#下载的脚本放入msf对应的目录之下,之后msfconle下reload_all
MSF模块:https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
c:detector>0708detector.exe -t 192.168.91.138(要测试的目标IP) -p 3389(目标端口,一般都是3389)
a) 若目标存在漏洞
[!] !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[!] !!!!!!WARNING: SERVER IS VULNERABLE!!!!!!!
[!] !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
b) 若目标系统已经开启NLA
[!] Socket : recv error with -1 return
[!] Recv server TPDU req Failed
[*] Detect NLA enable! Server likely NOT vulnerable
c) 若目标系统已经进行补丁修复
[ ] Start 2nd stage detection.
[ ] Connecting to RDP server.
[ ] Establish connection with RDP server successful.
[*] Server likely NOT vulnerable修复建议:
- 避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过V**登录后才能访问),并关闭445、139、135等不必要的端口。
- 360远程桌面服务漏洞免疫工具:http://dl.360safe.com/leakfixer/360SysVulTerminator_CVE-2019-0708.exe
- 漏洞对应的补丁下载地址:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708
