远程桌面CVE-2019-0708高危漏洞

| |
[不指定 2019/05/25 15:19 | by admin ]
一、安全公告
2019年5月14日,微软发布了本月安全更新补丁,其中包含一个RDP(远程桌面服务)远程代码执行漏洞的补丁更新。远程桌面协议(RDP)本身不易受攻击,但恶意攻击者很可能会针对该漏洞编写一个漏洞利用程序并将其合并到恶意软件中。

二、 影响版本
Windows XP
Windows 7
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
需要注意的是:Windows 8和Windows 10及之后版本的用户不受此漏洞影响。

三、解决措施
如果当前Windows系统是微软支持的版本,启用了自动更新的客户将会自动更新此补丁。
如果当前Windows系统是微软不支持的版本,不支持的系统(Windows 2003和Windows XP),建议升级到最新版本的Windows系统。
同时微软也为这些旧的操作系统(Windows 2003和Windows XP)更新了安全补丁KB4500705来修复此漏洞,补丁更新地址:微软官方

四、 漏洞披露
针对微软第一时间公布了CVE-2019-0708漏洞的修复补丁,我们对比补丁发现仅仅是对termdd.sys远程驱动做了修改,在驱动的strcmp里做了限制,我们跟踪上面的修改参数追踪到远程桌面的一个调用函数里,对该函数微软写死了,我们判断是这个函数可以插入恶意代码导致远程执行漏洞发生,具体怎么利用CVE-2019-0708漏洞,目前没有POC公布,估计很快会在Github上出现。
点击在新窗口中浏览此图片

CVE-2019-0708漏洞是通过检查用户的身份认证,导致可以绕过认证,不用任何的交互,直接通过rdp协议进行连接发送恶意代码执行命令到服务器中去。如果被攻击者利用,会导致服务器入侵,中病毒,像WannaCry 永恒之蓝漏洞一样大规模的感染。

五、漏洞检测
CVE-2019-0708漏洞扫描检测工具 (提取码:2efc) 压缩包密码:360
使用方法
打开 “运行” 输入 cmd.exe,“回车”运行
跳转到程序所在目录,比如到C盘detector目录下

c:>cd c:\detector\
c:\detector>0708detector.exe -t 192.168.91.138(要测试的目标IP) -p 3389(目标端口,一般都是3389)

若目标存在漏洞

CVE-2019-0708 Remote Detection tool
by: 360Vulcan Team
[+] Connecting to RDP server.
[+] Socket : could not find a selected socket
[+] Establish connection with RDP server successful.
[+] Start 2nd stage detection.
[+] Connecting to RDP server.
[+] Establish connection with RDP server successful.
[!] !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[!] !!!!!!WARNING: SERVER IS VULNERABLE!!!!!!!
[!] !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

若目标系统已经开启NLA

CVE-2019-0708 Remote Detection tool
by: 360Vulcan Team
[+] Connecting to RDP server.
[!] Socket : recv error with -1 return
[!] Recv server TPDU req Failed
[*] Detect NLA enable! Server likely NOT vulnerable

若目标系统已经进行补丁修复

CVE-2019-0708 Remote Detection tool
by: 360Vulcan Team
[+] Connecting to RDP server.
[+] Establish connection with RDP server successful.
[+] Start 2nd stage detection.
[+] Connecting to RDP server.
[+] Establish connection with RDP server successful.
[*] Server likely NOT vulnerable
技术文摘 | 评论(0) | 引用(0) | 阅读(2283)