簡介

CVE-2019-0708 BlueKeep是一個Windows遠端桌面服務的遠端程式碼執行漏洞，其危害程度不亞於CVE-2017-0143 EternalBlue，該漏洞影響了某些舊版本的Windows系統。此漏洞是預身份驗證，無需使用者互動。當未經身份驗證的攻擊者使用RDP（常見埠3389）連線到目標系統併發送特製請求時，可以在目標系統上執行任意命令。甚至傳播惡意蠕蟲，感染內網其他機器。類似於2017年爆發的WannaCry等惡意勒索軟體病毒。

漏洞影響的系統

• Windows 7
• Windows Server 2008 R2
• Windows Server 2008
• Windows 2003
• Windows XP

掃描區域網中的漏洞

開啟metasploit

msfconsole

使用掃描模組

use auxiliary/scanner/rdp/cve_2019_0708_bluekeep

如果沒有這個模組請吧metasploit升級到最新的版本

msfupdate

之後配置掃描的主機範圍

set RHOSTS 192.168.18.1/24

開始掃描

exploit

如果出現

[+] 192.168.1.2:3389 - The target is vulnerable.

說明這個主機是有漏洞的

打補丁

我在區域網中發現一臺windows 2003 有這個漏洞,首先下載補丁，在下面這個網址

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

下載完成之後安裝就好

安裝完成之後要重啟

接著使用metasploit重新掃描一下就好

msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set RHOSTS 192.168.18.27
RHOSTS => 192.168.18.27
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > exploit

[*] 192.168.18.27:3389    - The target is not exploitable.
[*] 192.168.18.27:3389    - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >
 

其他的系統也是類似，安裝上就好

其他的防範辦法

• 斷網
• 關閉遠端桌面連線服務

其他相關

阿里雲的安全公告

https://help.aliyun.com/noticelist/articleid/1060000116.html?spm=a2c4g.789213612.n2.6.46be6141nusN1i

微軟的漏洞公告

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

微軟的安全升級指南

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

微軟已經放棄支援的系統的升級補丁(like windows xp)

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

關於攻擊載荷

不好意思，目前我還沒有找到，不然就好玩了

歡迎關注Bboysoul的部落格www.bboysoul.co