Windows RDP远程漏洞|CVE-2019-0708

• Windows RDP远程漏洞|CVE-2019-0708
  • 1 描述：
  • 2 影响范围：
  • 3 漏洞检测
    • 3.1 0708detector
      • 3.1.1 程序说明
      • 3.1.2 下载地址
      • 3.1.3 使用方法
    • 3.2 cve_2019_0708_bluekeep.rb
  • 4 缓解措施
  • 5 修复建议：

1 描述：

• 北京时间2019年5月14日
• 当未经身份验证的攻击者使用 RDP 连接到目标系统并发送经特殊设计的请求时，远程桌面服务（以前称为“终端服务”）中存在远程执行代码漏洞。
• 此漏洞是预身份验证，无需用户交互。
• 成功利用此漏洞的攻击者可以在目标系统上执行任意代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

2 影响范围：

• Windows 7
• Windows Server 2008 R2
• Windows Server 2008
• Windows 2003
• Windows XP

3 漏洞检测

3.1 0708detector

3.1.1 程序说明

0708detector.exe程序是360公司的360Vulcan Team发布的一款针对编号为CVE-2019-0708的Windows远程桌面协议漏洞的检测程序,原则上该扫描程序不会造成目标系统出现蓝屏,请您测试后再使用。

目前程序只支持单个IP的扫描,您可以自行构造出批量扫描的程序，谢谢。

注意：

1. 使用前，请务必在合法授权情况下对目标系统进行扫描；
2. 使用前，请注意检测程序的数字签名是否合法；
3. 程序可能由于网络问题导致检测不成功；
4. 如果有更多的问题，请邮件回复到 [email protected]

3.1.2 下载地址

https://free.360totalsecurity.com/CVE-2019-0708/detector_release.zip

程序校验码：
MD5: febc027cee2782dba25b628ce3a893d6
SHA256: ccea8afec177d15d78329770b29f361b876addaa19eb93cabfaf90b896e03827

3.1.3 使用方法

# Win7下运行，Win11不支持
c:\detector>0708detector.exe -t 192.168.91.138(要测试的目标IP) -p 3389(目标端口，一般都是3389)
a) 若目标存在漏洞
[!] !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[!] !!!!!!WARNING: SERVER IS VULNERABLE!!!!!!!
[!] !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

b) 若目标系统已经开启NLA

[!] Socket : recv error with -1 return
[!] Recv server TPDU req Failed
[*] Detect NLA enable! Server likely NOT vulnerable

c) 若目标系统已经进行补丁修复
[+] Start 2nd stage detection.
[+] Connecting to RDP server.
[+] Establish connection with RDP server successful.
[*] Server likely NOT vulnerable

3.2 cve_2019_0708_bluekeep.rb

#下载的脚本放入msf对应的目录之下，之后msfconle下reload_all
MSF模块：https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

4 缓解措施

1. 禁用远程桌面服务（如果不需要）。
   • 如果系统不再需要这些服务，根据保障安全的最佳做法，可考虑禁用这些服务。禁用不使用和不需要的服务有助于减少出现安全漏洞的可能性。
2. 在运行受支持版本的 Windows 7、Windows Server 2008 和 Windows Server 2008 R2 的系统上启用网络级身份验证 (NLA)
   • 你可以启用网络级身份验证以阻止未经身份验证的攻击者利用此漏洞。启用 NLA 后，攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证，然后才能利用此漏洞。
3. 在企业边界防火墙处阻止 TCP 端口 3389
   • TCP 端口 3389 用于启动与受影响组件的连接。在网络边界防火墙处阻止此端口将有助于防止位于防火墙后面的系统尝试利用此漏洞。这有助于防止网络遭受来自企业边界之外的攻击。在企业边界阻止受影响的端口是帮助避免基于 Internet 的攻击的最佳防御措施。然而，系统仍然可能容易受到来自其企业边界内的攻击。

5 修复建议：

• 避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过V**登录后才能访问），并关闭445、139、135等不必要的端口。
• 360远程桌面服务漏洞免疫工具：http://dl.360safe.com/leakfixer/360SysVulTerminator_CVE-2019-0708.exe
• 漏洞对应的补丁下载地址：CVE-2019-0708 - 安全更新程序指南 - Microsoft - 远程桌面服务远程执行代码漏洞