[TOC]

1. 远程代码执行|CVE-2019-0708

描述:北京时间2019年5月15日,Windows再次被曝出一个破坏力巨大的高危远程漏洞CVE-2019-0708。
危害:

  • 漏洞的触发无需用户交互(极大提高成功概率),攻击者一旦成功利用该漏洞,便可以在目标系统上执行任意代码,包括获取敏感信息、执行远程代码、发起拒绝服务攻击等等攻击行为,还能与挖矿蠕虫与勒索蠕虫病毒联合利用攻击;
  • 由于该漏洞是预身份认证,且不需要用户交互,可以在不需要用户干预的情况下远程执行任意代码。
  • 这就意味着利用该漏洞可制作成自动化、大规模、无条件攻击的蠕虫,并会迅速像野火一样蔓延至整个网络,最终将可能导致当年“永恒之蓝”漏洞武器造成的WannaCry勒索蠕虫病毒攻击的再度重演。

影响范围:

  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows 2003
  • Windows XP

漏洞监测:360Vulcan Team Windows远程桌面协议漏洞的检测程序

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
#下载的脚本放入msf对应的目录之下,之后msfconle下reload_all
MSF模块:https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

c:\detector>0708detector.exe -t 192.168.91.138(要测试的目标IP) -p 3389(目标端口,一般都是3389)
a) 若目标存在漏洞
[!] !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[!] !!!!!!WARNING: SERVER IS VULNERABLE!!!!!!!
[!] !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

b) 若目标系统已经开启NLA

[!] Socket : recv error with -1 return
[!] Recv server TPDU req Failed
[*] Detect NLA enable! Server likely NOT vulnerable

c) 若目标系统已经进行补丁修复
[+] Start 2nd stage detection.
[+] Connecting to RDP server.
[+] Establish connection with RDP server successful.
[*] Server likely NOT vulnerable


修复建议: