簡単な紹介
CVE-2019-0708 BlueKeepは、リモートでコードが実行される脆弱性は、Windowsのリモートデスクトップサービスをされ、CVE-2017から0143 EternalBlueな限り被害の程度は、脆弱性はWindowsの特定の古いバージョンに影響を与えます。この脆弱性は、ユーザーとの対話なしに、事前認証です。RDP(共通ポート3389)ターゲット・システムへの接続を使用し、特別に細工されたリクエストを送信する際に認証されていない攻撃者は、ターゲットシステム上で任意のコマンドを実行することができます。でも、他のマシンにネットワーク内の悪意のあるワーム感染を広げます。WannaCry恐喝やその他の悪意のあるソフトウェアウィルスの2017流行に似ています。
脆弱性の全身影響
- Windows 7の
- Windows Server 2008 R2
- Windows Server 2008の
- Windows 2003の
- Windows XPの
スキャンLANの脆弱性
オープンMetasploitの
msfconsole
走査モジュールを使用します
use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
このモジュールがないとMetasploitの最新バージョンにアップグレードして先に行きます
msfupdate
のスキャンの宿主範囲を設定した後
set RHOSTS 192.168.18.1/24
スキャンの開始
exploit
もし
[+] 192.168.1.2:3389 - The target is vulnerable.
説明このホストは欠陥があります
パッチ
私は、下記のURLこの、2003年には最初のパッチをダウンロードし、この抜け穴を持っているローカル・エリア・ネットワーク・ウィンドウを見つけました
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
ダウンロードがうまくインストール完了後
インストール後に再起動して完了です
その後のようなMetasploitの再スキャンを見て使用
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set RHOSTS 192.168.18.27
RHOSTS => 192.168.18.27
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > exploit
[*] 192.168.18.27:3389 - The target is not exploitable.
[*] 192.168.18.27:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >
他の同様のシステムもうまくにインストールされています
その他の予防措置
- ネットオフ
- リモートデスクトップ接続サービスを終了します
関連する他の
アリクラウドセキュリティ情報
https://help.aliyun.com/noticelist/articleid/1060000116.html?spm=a2c4g.789213612.n2.6.46be6141nusN1i
Microsoftはお知らせ脆弱性
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
マイクロソフトセキュリティ更新ガイド
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
マイクロソフトは、(Windows XPのような)アップグレードパッチシステムのサポートを放棄しました
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
負荷への攻撃
申し訳ありませんが、私は、そうでなければ楽しさを発見していません
関係のブログへようこそBboysoul www.bboysoul.com
楽しむ
ます。https://my.oschina.net/u/3778921/blog/3059731で再現