远程桌面漏洞poc_十万火急,速打补丁!Windows RDP服务蠕虫级漏洞攻击被公开

最新推荐文章于 2023-08-22 15:18:05 发布
最新推荐文章于 2023-08-22 15:18:05 发布
阅读量309 收藏 1
点赞数
文章标签: 远程桌面漏洞poc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39754267/article/details/111629253
版权

Windows RDP服务蠕虫级漏洞CVE-2019-0708攻击方法已放出,该漏洞可能导致类似WannaCry的蠕虫病毒爆发,攻击者亦可利用漏洞入侵后释放勒索病毒,漏洞威力不逊于永恒之蓝。

速打补丁!!!

速打补丁!!!

转发起来!!!

d232dd529cdad8eb63fdc8110962bf3b.png

报告编号:B6-2019-090702

更新日期:2019-09-07

0x00 漏洞背景

2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。

此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。成功利用此漏洞的攻击者可以在目标系统完成安装应用程序,查看、更改或删除数据,创建完全访问权限的新账户等操作。

此漏洞的相关事件时间线如下:

  • 2019年05月14日:微软官方发布远程桌面服务远程代码执行漏洞(CVE-2019-0708)的安全通告及相应补丁。

  • 2019年05月30日:微软再次发布公告强烈建议受到CVE-2019-0708漏洞影响的用户尽快升级修复。

  • 2019年05月31日:互联网流传出可以导致系统蓝屏崩溃的PoC代码,有企图的攻击者可以利用此PoC工具对大量存在漏洞的系统执行远程拒绝服务攻击。

  • 2019年06月08日:Metasploit的商业版本开始提供能导致远程代码执行的漏洞利用模块。

  • 2019年07月31日:商业漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模块。

  • 2019年09月07日:@rapid7 在其metasploit-framework仓库公开发布了CVE-2019-0708的利用模块,漏洞利用工具已经开始扩散,已经构成了蠕虫级的攻击威胁。

已公开的漏洞利用工具可以极易的被普通攻击者使用,脚本化/批量化/自动化攻击将接踵而至。

经研判,红数位确认漏洞等级严重,影响面广,建议相关单位、企业内部立即进行安全排查,给在漏洞影响范围内的服务器、主机及时更新安全补丁。

0x01 影响范围

  • Windows 7 for 32-bit Systems Service Pack 1

  • Windows 7 for x64-based Systems Service Pack 1

  • Windows Server 2008 for 32-bit Systems Service Pack 2

  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

  • Windows Server 2008 for Itanium-Based Systems Service Pack 2

  • Windows Server 2008 for x64-based Systems Service Pack 2

  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

  • Windows XP SP3 x86

  • Windows XP Professional x64 Edition SP2

  • Windows XP Embedded SP3 x86

  • Windows Server 2003 SP2 x86

  • Windows Server 2003 x64 Edition SP2

  • Windows 8和Windows 10及之后版本的用户不受此漏洞影响。

0x02 检测及修复建议

安装官方补丁

微软官方已经发布更新补丁(包括Windows XP等停止维护的版本),请用户及时 进行补丁更新,获得并安装补丁的方式有2种:

离线安装补丁的详细步骤:

  1. 在“官方补丁下载链接中”找到当前受漏洞影响版本的补丁,下载该补丁。

  2. 双击下载的补丁并安装:

    203e4af32ea53c40c8c16bfa7e9c82d4.png

    ccdf7938efc03824941a66f3776672d7.png

    4a296f5cb78ef9cbfd421df38ab4eaaf.png

  3. 输入下方的命令检测补丁是否安装成功:

     wmic qfe list|findstr "4499164 4499175 4499149 4499180 4500705"

    如果补丁安装成功将返回安装补丁的信息:

    6b6a2f9e38dda435247f5639c5975ffa.png

  4. 重启计算机完成安全更新。

临时解决方案

  • 若用户不需要用到远程桌面服务,建议禁用该服务:

    13b1b730f139657d529f277184bfba0e.png

  • 开启系统防火墙或IP安全策略限制来源IP,即只允许指定IP访问。

  • 启用网络级认证(NLA),此方案仅适用于Windows 7, Windows Server 2008, and Windows Server 2008 R2:

    19f2b437aed8b7bcf4653e0280902350.png

0x03 官方补丁下载链接

操作系统版本补丁下载链接
Windows 7 x86http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows 7 x64http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Embedded Standard 7 for x64http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Embedded Standard 7 for x86http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows Server 2008 x64http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu
Windows Server 2008 Itaniumhttp://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu
Windows Server 2008 x86http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu
Windows Server 2008 R2 Itaniumhttp://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu
Windows Server 2008 R2 x64http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Server 2003 x86http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe
Windows Server 2003 x64http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe
Windows XP SP3http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe
Windows XP SP2 for x64http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe
Windows XP SP3 for XPehttp://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe
WES09 and POSReady 2009http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/04/windowsxp-kb4500331-x86-embedded-chs_e3fceca22313ca5cdda811f49a606a6632b51c1c.exe

如果从官方源下载补丁较慢的话,也可以从此链接下载补丁:https://yunpan.360.cn/surl_yLFKiSgzK2D (提取码:68c8)

0x04 时间线

2019-05-14 微软官方发布0708安全公告

2019-09-07 metasploit-framework攻击框架公布漏洞利用代码,漏洞利用工具已经扩散,已经可以造成蠕虫级的安全威胁

2019-09-07 红数位更新预警

0x05 参考链接

  1. https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

  2. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

  3. https://github.com/rapid7/metasploit-framework/pull/12283/files

    @rapid7 Add initial exploit for CVE-2019-0708, BlueKeep #12283

weixin_39754267
关注
[漏洞挖掘与防护] 01.漏洞利用之CVE-2019-0708复现及防御详解(含学习路线)
杨秀璋的专栏
07-10 657
这是作者新开的一个专栏——“漏洞挖掘与防护”。第一篇文章将详细介绍Windows远程桌面服务漏洞(CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击,堪比WannaCry。希望对入门的同学有帮助。您的点赞、评论、收藏将是对我最大的支持,感恩安全路上一路前行,如果有写得不好的地方,可以联系我修改。基础性文章,希望对您有所帮助!
windows 7 RDP 补丁
01-11
这个 remote desktop (RDP) 的补丁是给 windows 7 Home Premium SP1 的. 以解决多用户的问题.. (以 administrator 身份运行 Install.cmd)
WIN10 多用户远程补丁RDPWrap-v1.6.2.zip
07-07
远程桌面是很个很好用的工具,此工具集成在Windows 10里,是微软官方的工具,但与服务器版本不同,做为面向工作站/单机版的Windows 10,自带的远程桌面是有限制的,只能同时一个用户登录!这是什么意思呢?就是说如果被远程控制的电脑已经有一个用户登录了,那么第二个用户登录就必须经过第一个用户确认才可以正常登录,这样的话多用户登录要怎么办? https://www.pcworks.cn/download/31224.html
Windows RDP服务蠕虫漏洞预警 堪比WannaCry
Yu_6651315的博客
05-16 419
北京时间5月15日,微软发布了针对远程桌面(RDP)服务远程代码执行漏洞CVE-2019-0708的修复补丁,该漏洞由于属于预身份验证且无需用户交互,因此可以通过网络蠕虫方式被利用,与2017年爆发的WannaCry恶意软件的传播方式类似。攻击者可利用该漏洞安装程序、查看、更改或删除数据、或者创建拥有完全用户权限的新帐户。360CERT(360网络安全响应中心)第一时间确认漏洞为严重别,建议用户...
win10家庭版远程桌面补丁_rdp wrapper
fengdijiang的专栏
08-22 1953
远程访问工具安装
Win10多用户远程桌面软件RDP Wrapper Library下载安装教程和解决Win10 1809(OS build17763)not supported问题
热门推荐
KotaTsuchiya的博客
11-05 1万+
下载 RDP Wrapper Library v1.6.2软件和Win10 1809版本的补丁   注意:本补丁文件适用于Win10 1809版本(OS Build 17763),替换文件时注意备份原来的文件,查看自己操作系统版本号按Windows+R输入winver查看,别的版本是否可行自行测试。。 附测试连接:New offsets for RDP Wrapper Lib...
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞(CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
大华智慧园区综合管理平台存在未授权高危漏洞(0Day)及以往漏洞POC合集
02-27
大华智慧园区综合管理平台存在未授权高危漏洞(0Day)及以往漏洞POC合集
非常专业的漏洞POC管理、团队授权化漏洞管理、漏洞验证利用、漏洞批量利用框架 -Un1kPoc.zip
最新发布
08-26
非常专业的漏洞POC管理、团队授权化漏洞管理、漏洞验证利用、漏洞批量利用框架。_Un1kPoc.zip 非常专业的漏洞POC管理、团队授权化漏洞管理、漏洞验证利用、漏洞批量利用框架。_Un1kPoc.zip 非常专业的漏洞POC管理、...
RDP补丁包.rar
08-03
WIN7远程RDP升包,非常不易,主要针对win7远程桌面存在的一些延迟、分辨率等问题,尤其是通过代码控制远程桌面时,升后,可以实现类win8.1效果。升时,根据文件号后两位数字,由小大到的顺序依次升
RDP Wrapper(用于18362.836)dxdiag显示18363 补丁:KB4556799
05-15
1 win10更新了KB4556799补丁 2 运行中,dxdiag显示为18363(实际系统版本号为18362.836) 3 解决多用户登录该版本的windows 收取最低的币子,共享给有需要的人
RDP-8.0完整升
08-05
RDP-8.0完整升
RDP Wrapper解决win10多用户问题
12-27
先运行install,他会在C:\Program Files\RDP Wrapper拷入俩文件rdpwrap.dll和rdpwrap.ini 然后运行update,他会自动网上下载更新的rdpwrap.ini 但是我测试有个问题,1809之前的版本全部正常,比如2016LTSB 2015LTSB,1803的win10都没问题 唯独到了1809,update会无法完成(可能是由于权限更严格) 我只提供给你我已经更新的10.10日版rdpwrap.ini,你自己去覆盖(会提示文件占用,你要先去关闭RDP服务,覆盖好后再去开启RDP服务即可) 友情提示,这东西会随着windows补丁升有可能失效,一旦失效你要手动去update(前提是原作者在网上更新了,若没有,只能等)所以一旦搞定,后续windows补丁升要慎重! 你可以查看本人帖子,我提供了自制的windowsLTSB2016,是集成这个多用户远程外挂的
[远程多用户补丁]Win10多用户.rar
03-02
https://dhexx.cn/news/show-318951.html?action=onClick 背景:Win10 正常情况下不允许多用户同时远程,即一个用户远程进来会把另一个用户踢掉,因此需要破解才能使得多个用户同时登陆远程桌面。 Win10多用户同时登陆远程桌面(允许多个RDP会话)-本文亲测win10-1903、1909版有效,其他版本会附上类似办法,本文的方法为使用解除远程桌面多用户连接限制补丁RDPWrap。 分两大步: 1.主机修改远程登录相关配置; 2.使用RDPWrap破解远程登录用户限制;
远程桌面漏洞poc_【漏洞预警】微软远程桌面服务(RDP)远程代码执行漏洞(CVE20190708)...
weixin_39615984的博客
12-20 339
1.漏洞标题微软远程桌面服务(RDP)远程代码执行漏洞(CVE-2019-0708)漏洞描述北京时间5月15日,微软官方发布了5月安全更新补丁,披露了旗下Windows操作系统存在远程桌面服务漏洞(CVE-2019-0708),攻击者可通过RDP协议向目标发送恶意构造请求,实现远程代码执行,堪比新一代MS17010。攻击者可配合勒索病毒进行新一波勒索行动。2.漏洞属性【漏洞】高危【C...
nvidia-opengl-rdp 英伟达显卡 rdp 远程桌面 OpenGL补丁
xiaobabi-肖浪的博客
03-12 3648
nvidia发布的 让windowsrdp远程桌面环境也可以使用 GrForce GPU来做终端桌面的OpenGL 加补丁 龟盘: 链接:https://pan.baidu.com/s/1Xpvp5Vvp4vMO-SaMJB3XZg 提取码:lsd7
Windows10远程桌面多用户补丁-适配至14393
01-08
彻底解决Windows 10远程多用户登录的问题,亲测支持至最新的Windows10 14393。 使用说明: 下载附件里面的程序,install.bat,然后运行RDPConfig.exe,看到Diagnostics后面都是绿色的,并且Listener state" 状态;Listening [fully supported], Enable Remote Desktop Protocol 选中 single session per user 选中 RDP port: 3393 Securiy Mode 选中 Network level Aurthentication(Best) Session Shadowing Mode 选中 Full access with user's permission 最后 选择 OK 注意 1、修改过termsrv.dll 的自己改回来,要用原版的 2、Windows 10 x64 Threshold 2 (November 2015) If Windows 10 Threshold 2 Update broke concurrent RDP sessions and RDPConfig.exe shows "Listening [not supported]", run update.bat which will automatically update rdpwrap.ini to support the latest version of termsrv.dll (10.0.10586.0). 问题: 如果Listener state" 状态不是Listening [fully supported],请以管理员运行update.bat然后重启远程桌面服务即可。
CVE-2019-0708:Windows远程桌面UAF漏洞分析与复现
远程桌面服务允许用户通过RDP协议远程访问和控制Windows系统。当服务处理不当,特别是在处理客户端断开连接时,可能会导致内存管理错误,即UAF漏洞。这种情况下,已释放的内存区域可能被再次使用,从而允许攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值