蠕蟲(chóng)級(jí)漏洞BlueKeep CVE-2019-0708 EXP的示例分析

今天就跟大家聊聊有關(guān)蠕蟲(chóng)級(jí)漏洞BlueKeep CVE-2019-0708 EXP的示例分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

睜開(kāi)眼，連續(xù)多雨的上海終于放晴了，朋友圈卻下起了“暴雨”——那個(gè)號(hào)稱wannacry級(jí)別的漏洞 BlueKeep（CVE-2019-0708）漏洞利用發(fā)布了。

Metasploit 在博客和推特上相繼發(fā)布消息稱，Metasploit正式集成針對(duì)CVE-2019-0708（也稱為BlueKeep）的漏洞利用模塊，雖然目前的初始版本只適用于64位版本的Windows 7和Windows 2008 R2，但也釋放出了一個(gè)威脅信號(hào)，無(wú)數(shù)潛在攻擊者已經(jīng)開(kāi)始關(guān)注到這個(gè)信息，隨著后續(xù)模塊更新，BlueKeep漏洞的威力也會(huì)逐漸顯現(xiàn)出來(lái)。

目前已經(jīng)留意到有不少安全人員或者實(shí)驗(yàn)室已經(jīng)進(jìn)行了漏洞復(fù)現(xiàn)，進(jìn)一步證實(shí)了該EXP的可用性。需要注意的是，該EXP易導(dǎo)致系統(tǒng)藍(lán)屏，引起系統(tǒng)服務(wù)中斷。建議紅隊(duì)等測(cè)試前，評(píng)估系統(tǒng)重要度，謹(jǐn)慎行事。

關(guān)于BlueKeep（CVE-2019-0708）

北京時(shí)間5月15日，微軟發(fā)布了針對(duì)遠(yuǎn)程桌面服務(wù)的遠(yuǎn)程執(zhí)行代碼漏洞CVE-2019-0708的修復(fù)程序, 漏洞觸發(fā)無(wú)需用戶交互。這也就意味著，攻擊者可以利用該漏洞制作類似于2017年席卷全球的WannaCry類的蠕蟲(chóng)病毒，進(jìn)行大規(guī)模傳播和破壞。

遠(yuǎn)程桌面服務(wù)（以前稱為終端服務(wù)）中存在遠(yuǎn)程執(zhí)行代碼漏洞，當(dāng)未經(jīng)身份驗(yàn)證的攻擊者使用RDP連接到目標(biāo)系統(tǒng)并發(fā)送特制請(qǐng)求時(shí)。成功利用此漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。然后攻擊者可以安裝程序; 查看，更改或刪除數(shù)據(jù); 或創(chuàng)建具有完全用戶權(quán)限的新帳戶。要利用此漏洞，攻擊者僅需要通過(guò)RDP向目標(biāo)系統(tǒng)遠(yuǎn)程桌面服務(wù)發(fā)送惡意請(qǐng)求。

本次漏洞時(shí)間線：

1、2019年5月14日

微軟發(fā)布遠(yuǎn)程桌面服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞CVE-2019-0708的安全通告及相應(yīng)補(bǔ)丁，并特別針對(duì)此漏洞發(fā)布了專門(mén)的說(shuō)明，提示這是一個(gè)可能導(dǎo)致蠕蟲(chóng)泛濫的嚴(yán)重漏洞

2、2019年5月15日

斗象智能安全平臺(tái)發(fā)布漏洞預(yù)警信息及處置方案，隨后斗象智能安全平臺(tái)ARS/PRS上線漏洞檢測(cè)工具

3、2019年5月23日

互聯(lián)網(wǎng)公開(kāi)渠道出現(xiàn)具有非破壞性漏洞掃描功能的PoC程序

4、2019年5月25日

黑客開(kāi)始大規(guī)模掃描存在漏洞的設(shè)備

5、2019年5月30日

微軟再次發(fā)布對(duì)于CVE-2019-0708漏洞做修補(bǔ)的提醒，基于漏洞的嚴(yán)重性強(qiáng)烈建議用戶盡快升級(jí)修復(fù)

6、2019年5月31日

互聯(lián)網(wǎng)公開(kāi)渠道出現(xiàn)能導(dǎo)致藍(lán)屏的PoC代碼，斗象安全應(yīng)急響應(yīng)團(tuán)隊(duì)已經(jīng)確認(rèn)了PoC代碼的可用性

7、2019年6月8日

Metasploit的商業(yè)版本開(kāi)始提供能導(dǎo)致遠(yuǎn)程代碼執(zhí)行的漏洞利用模塊

8、2019年7月31日

商業(yè)漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模塊

9、2019年9月7日

已有公開(kāi)渠道的Metasploit CVE-2019-0708漏洞利用模塊發(fā)布，構(gòu)成現(xiàn)實(shí)的蠕蟲(chóng)威脅。

漏洞危害

成功利用此漏洞的攻擊者可以在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。然后攻擊者可以安裝程序; 查看，更改或刪除數(shù)據(jù); 或創(chuàng)建具有完全用戶權(quán)限的新帳戶。

影響范圍

產(chǎn)品

Windows 操作系統(tǒng)

版本

Windows 7

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003（已停止維護(hù)）

Windows XP（已停止維護(hù)）

組件

遠(yuǎn)程桌面服務(wù)

修復(fù)方案

官方補(bǔ)丁

通過(guò)Windows 操作系統(tǒng)中的自動(dòng)更新功能進(jìn)行更新

針對(duì)系統(tǒng)版本參考文末列表下載補(bǔ)丁進(jìn)行運(yùn)行安裝

臨時(shí)解決建議

1、禁用遠(yuǎn)程桌面服務(wù)

2、在防火墻中對(duì)遠(yuǎn)程桌面服務(wù)端口(3389)進(jìn)行阻斷

3、在Windows 7, Windows Server 2008, and Windows Server 2008 R2 上啟用網(wǎng)絡(luò)身份認(rèn)證

參考

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://github.com/rapid7/metasploit-framework/pull/12283?from=timeline&isappinstalled=0

官方補(bǔ)丁下載

以上是本次高危漏洞預(yù)警的相關(guān)信息，如有任何疑問(wèn)或需要更多支持，可通過(guò)以下方式與我們?nèi)〉寐?lián)系。

看完上述內(nèi)容，你們對(duì)蠕蟲(chóng)級(jí)漏洞BlueKeep CVE-2019-0708 EXP的示例分析有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。