CVE-2019-0708 BlueKeep的掃描和打補丁

簡介

CVE-2019-0708 BlueKeep是一個Windows遠程桌面服務的遠程代碼執行漏洞，其危害程度不亞於CVE-2017-0143 EternalBlue，該漏洞影響了某些舊版本的Windows系統。此漏洞是預身份驗證，無需用戶交互。當未經身份驗證的攻擊者使用RDP（常見端口3389）鏈接到目標系統併發送特製請求時，能夠在目標系統上執行任意命令。甚至傳播惡意蠕蟲，感染內網其餘機器。相似於2017年爆發的WannaCry等惡意勒索軟件病毒。

漏洞影響的系統

• Windows 7
• Windows Server 2008 R2
• Windows Server 2008
• Windows 2003
• Windows XP

掃描局域網中的漏洞

打開metasploit

msfconsole

使用掃描模塊

use auxiliary/scanner/rdp/cve_2019_0708_bluekeep

若是沒有這個模塊請吧metasploit升級到最新的版本

msfupdate

以後配置掃描的主機範圍

set RHOSTS 192.168.18.1/24

開始掃描

exploit

若是出現

[+] 192.168.1.2:3389 - The target is vulnerable.

說明這個主機是有漏洞的

打補丁

我在局域網中發現一臺windows 2003 有這個漏洞,首先下載補丁，在下面這個網址

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

下載完成以後安裝就好

安裝完成以後要重啓

接着使用metasploit從新掃描一下就好

msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set RHOSTS 192.168.18.27
RHOSTS => 192.168.18.27
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > exploit

[*] 192.168.18.27:3389    - The target is not exploitable.
[*] 192.168.18.27:3389    - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >

其餘的系統也是相似，安裝上就好

其餘的防範辦法

• 斷網
• 關閉遠程桌面鏈接服務

其餘相關

阿里雲的安全公告

https://help.aliyun.com/noticelist/articleid/1060000116.html?spm=a2c4g.789213612.n2.6.46be6141nusN1i

微軟的漏洞公告

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

微軟的安全升級指南

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

微軟已經放棄支持的系統的升級補丁(like windows xp)

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

關於攻擊載荷

很差意思，目前我尚未找到，否則就好玩了

歡迎關注Bboysoul的博客www.bboysoul.com

Have Fun