CVE-2019-0708 BlueKeep的扫描和打补丁
简介
CVE-2019-0708 BlueKeep是一个Windows远程桌面服务的远程代码执行漏洞,其危害程度不亚于CVE-2017-0143 EternalBlue,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证,无需用户交互。当未经身份验证的攻击者使用RDP(常见端口3389)连接到目标系统并发送特制请求时,可以在目标系统上执行任意命令。甚至传播恶意蠕虫,感染内网其他机器。类似于2017年爆发的WannaCry等恶意勒索软件病毒。
漏洞影响的系统
- Windows 7
- Windows Server 2008 R2
- Windows Server 2008
- Windows 2003
- Windows XP
扫描局域网中的漏洞
打开metasploit
msfconsole
使用扫描模块
use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
如果没有这个模块请吧metasploit升级到最新的版本
msfupdate
之后配置扫描的主机范围
set RHOSTS 192.168.18.1/24
开始扫描
exploit
如果出现
[+] 192.168.1.2:3389 - The target is vulnerable.
说明这个主机是有漏洞的
打补丁
我在局域网中发现一台windows 2003 有这个漏洞,首先下载补丁,在下面这个网址
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
下载完成之后安装就好
image安装完成之后要重启
接着使用metasploit重新扫描一下就好
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set RHOSTS 192.168.18.27
RHOSTS => 192.168.18.27
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > exploit
[*] 192.168.18.27:3389 - The target is not exploitable.
[*] 192.168.18.27:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >
其他的系统也是类似,安装上就好
其他的防范办法
- 断网
- 关闭远程桌面连接服务
其他相关
阿里云的安全公告
https://help.aliyun.com/noticelist/articleid/1060000116.html?spm=a2c4g.789213612.n2.6.46be6141nusN1i
微软的漏洞公告
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
微软的安全升级指南
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
微软已经放弃支持的系统的升级补丁(like windows xp)
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
关于攻击载荷
不好意思,目前我还没有找到,不然就好玩了
欢迎关注Bboysoul的博客www.bboysoul.com
Have Fun