简介

CVE-2019-0708 BlueKeep是一个Windows远程桌面服务的远程代码执行漏洞，其危害程度不亚于CVE-2017-0143 EternalBlue，该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证，无需用户交互。当未经身份验证的攻击者使用RDP（常见端口3389）连接到目标系统并发送特制请求时，可以在目标系统上执行任意命令。甚至传播恶意蠕虫，感染内网其他机器。类似于2017年爆发的WannaCry等恶意勒索软件病毒。

漏洞影响的系统

• Windows 7
• Windows Server 2008 R2
• Windows Server 2008
• Windows 2003
• Windows XP

扫描局域网中的漏洞

打开metasploit

msfconsole

使用扫描模块

use auxiliary/scanner/rdp/cve_2019_0708_bluekeep

如果没有这个模块请吧metasploit升级到最新的版本

msfupdate

之后配置扫描的主机范围

set RHOSTS 192.168.18.1/24

开始扫描

exploit

如果出现

[+] 192.168.1.2:3389 - The target is vulnerable.

说明这个主机是有漏洞的

打补丁

我在局域网中发现一台windows 2003 有这个漏洞,首先下载补丁，在下面这个网址

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

下载完成之后安装就好

安装完成之后要重启

接着使用metasploit重新扫描一下就好

msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set RHOSTS 192.168.18.27
RHOSTS => 192.168.18.27
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > exploit[*] 192.168.18.27:3389    - The target is not exploitable.
[*] 192.168.18.27:3389    - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >

其他的系统也是类似，安装上就好

其他的防范办法

• 断网
• 关闭远程桌面连接服务

其他相关

阿里云的安全公告

https://help.aliyun.com/noticelist/articleid/1060000116.html?spm=a2c4g.789213612.n2.6.46be6141nusN1i

微软的漏洞公告

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

微软的安全升级指南

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

微软已经放弃支持的系统的升级补丁(like windows xp)

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

关于攻击载荷

不好意思，目前我还没有找到，不然就好玩了

欢迎关注Bboysoul的博客www.bboysoul.com

Have Fun