一、事件背景
2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞(CVE-2019-0708),该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。微软为XP等不受支持的系统也发布了补丁,可见该漏洞的严重程度。
二、影响版本
- Windows7
- Windows Server 2008 R2
- Windows Server 2008
- Windows Server 2003
- Windows XP
三、不受影响的版本
- Windows 8
- Windows 10
四、漏洞危害
高危
五、RDP远程代码执行漏洞复现
1.实验环境
靶机: Windows Server 2008(192.168.223.128)
攻击方:kali(192.168.223.160)
2.前提条件
(1):靶机允许远程连接
计算机–>属性–>远程–>允许运行任意版本远程桌面的计算机
(2):靶机开启3389端口
(3):靶机关闭防火墙或者允许3389端口的数据进出防火墙
计算机–>属性–>控制面板–>系统和安全–>Windows防火墙–>打开或关闭防火墙
3.在kali中查找相应的漏洞(必须要更新到msf5,否则可能找不到对应的漏洞)
(1):进入msf
(2):搜寻RDP远程代码执行漏洞
(3):使用该模块
(4):设置参数
(5):执行
注意,虽然这块是目标服务器正在验证,但无法执行。但是可以使用poc进行尝试。
4.使用POC进行攻击
下载POC地址:https://github.com/n1xbyte/CVE-2019-0708
执行POC
5.查看靶机
靶机出现蓝屏,说明存在该漏洞并被利用
六、防御RDP远程桌面的方法
1.关闭3389端口
2.关闭远程桌面服务
3.开始防火墙,禁止3389端口通过防火墙
4.为系统打补丁
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708