CVE-2019-0708漏洞复现
CVE-2019-0708背景
Windows系列服务器于2019年5月15号,被爆出高危漏洞,该漏洞影响范围较广,漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击的。这个漏洞是今年来说危害严重性最大的漏洞,跟之前的勒索,永恒之蓝病毒差不多。
CVE-2019-0708这个漏洞最早爆出是在今年5月份,不过当时这个漏洞POC只能使得目标主机蓝屏,在前一段时间爆出来可以反弹shell的exp.
漏洞原理
远程桌面协议(RDP)支持客户端和服务器之间的连接,并且以虚拟信道的形式定义了它们之间通信的数据。虚拟信道是双向数据管道,可以针对RDP实现扩展。 Windows Server 2000使用RDP 5.1定义了32个静态虚拟信道(Static Virtual Channel, SVC),由于信道数量的限制,进一步定义了动态虚拟信道(Dynamic Virtual Channel, DVC),这些信道包含在专用SVC中。 SVC在会话开始时创建并保持到会话终止,而DVC将会根据是否需要确定是否创建和抛弃。
a.如下图所示: RDP连接序列在信道安全属性设置之前就进行了连接和设置,这为CVE-2019-0708的创建和传播提供了条件。
影响系统
开启了3389端口。
windows2003;
windows2008;
windows2008 R2;
windows xp;
windows 7;
测试环境Windows7 x64SP1 192.168.70.158
在控制面板>系统与安全>系统设置允许远程连接