[TOC]

1. 远程代码执行|CVE-2019-0708

描述：北京时间2019年5月15日，Windows再次被曝出一个破坏力巨大的高危远程漏洞CVE-2019-0708。
危害：

• 漏洞的触发无需用户交互(极大提高成功概率),攻击者一旦成功利用该漏洞，便可以在目标系统上执行任意代码，包括获取敏感信息、执行远程代码、发起拒绝服务攻击等等攻击行为,还能与挖矿蠕虫与勒索蠕虫病毒联合利用攻击;
• 由于该漏洞是预身份认证，且不需要用户交互，可以在不需要用户干预的情况下远程执行任意代码。
• 这就意味着利用该漏洞可制作成自动化、大规模、无条件攻击的蠕虫，并会迅速像野火一样蔓延至整个网络，最终将可能导致当年“永恒之蓝”漏洞武器造成的WannaCry勒索蠕虫病毒攻击的再度重演。

影响范围：

• Windows 7
• Windows Server 2008 R2
• Windows Server 2008
• Windows 2003
• Windows XP

漏洞监测：360Vulcan Team Windows远程桌面协议漏洞的检测程序

#下载的脚本放入msf对应的目录之下，之后msfconle下reload_all
MSF模块：https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

c:\detector>0708detector.exe -t 192.168.91.138(要测试的目标IP) -p 3389(目标端口，一般都是3389)
a) 若目标存在漏洞
[!] !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[!] !!!!!!WARNING: SERVER IS VULNERABLE!!!!!!!
[!] !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

b) 若目标系统已经开启NLA

[!] Socket : recv error with -1 return
[!] Recv server TPDU req Failed
[*] Detect NLA enable! Server likely NOT vulnerable

c) 若目标系统已经进行补丁修复
[+] Start 2nd stage detection.
[+] Connecting to RDP server.
[+] Establish connection with RDP server successful.
[*] Server likely NOT vulnerable

修复建议：

• 避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过VPN登录后才能访问），并关闭445、139、135等不必要的端口。
• 360远程桌面服务漏洞免疫工具：http://dl.360safe.com/leakfixer/360SysVulTerminator_CVE-2019-0708.exe
• 漏洞对应的补丁下载地址：https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708