簡介

CVE-2019-0708 BlueKeep是一個Windows遠程桌面服務的遠程代碼執行漏洞，其危害程度不亞于CVE-2017-0143 EternalBlue，該漏洞影響了某些舊版本的Windows系統。此漏洞是預身份驗證，無需用戶交互。當未經身份驗證的攻擊者使用RDP（常見端口3389）連接到目標系統并發送特制請求時，可以在目標系統上執行任意命令。甚至傳播惡意蠕蟲，感染內網其他機器。類似于2017年爆發的WannaCry等惡意勒索軟件病毒。

漏洞影響的系統

• Windows 7
• Windows Server 2008 R2
• Windows Server 2008
• Windows 2003
• Windows XP

掃描局域網中的漏洞

打開metasploit

msfconsole

使用掃描模塊

use auxiliary/scanner/rdp/cve_2019_0708_bluekeep

如果沒有這個模塊請吧metasploit升級到最新的版本

msfupdate

之后配置掃描的主機范圍

set RHOSTS 192.168.18.1/24

開始掃描

exploit

如果出現

[+] 192.168.1.2:3389 - The target is vulnerable.

說明這個主機是有漏洞的

打補丁

我在局域網中發現一臺windows 2003 有這個漏洞,首先下載補丁，在下面這個網址

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

下載完成之后安裝就好

安裝完成之后要重啟

接著使用metasploit重新掃描一下就好

msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set RHOSTS 192.168.18.27
RHOSTS => 192.168.18.27
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > exploit[*] 192.168.18.27:3389    - The target is not exploitable.
[*] 192.168.18.27:3389    - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >

其他的系統也是類似，安裝上就好

其他的防范辦法

• 斷網
• 關閉遠程桌面連接服務

其他相關

阿里云的安全公告

https://help.aliyun.com/noticelist/articleid/1060000116.html?spm=a2c4g.789213612.n2.6.46be6141nusN1i

微軟的漏洞公告

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

微軟的安全升級指南

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

微軟已經放棄支持的系統的升級補丁(like windows xp)

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

關于攻擊載荷

不好意思，目前我還沒有找到，不然就好玩了

歡迎關注Bboysoul的博客www.bboysoul.com

Have Fun