Windows RDP服务蠕虫级漏洞CVE-2019-0708攻击方法已放出,该漏洞可能导致类似WannaCry的蠕虫病毒爆发,攻击者亦可利用漏洞入侵后释放勒索病毒,漏洞威力不逊于永恒之蓝。

速打补丁!!!

速打补丁!!!

转发起来!!!

报告编号:B6-2019-090702

更新日期:2019-09-07

0x00 漏洞背景

2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。

此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。成功利用此漏洞的攻击者可以在目标系统完成安装应用程序,查看、更改或删除数据,创建完全访问权限的新账户等操作。

此漏洞的相关事件时间线如下:

  • 2019年05月14日:微软官方发布远程桌面服务远程代码执行漏洞(CVE-2019-0708)的安全通告及相应补丁。

  • 2019年05月30日:微软再次发布公告强烈建议受到CVE-2019-0708漏洞影响的用户尽快升级修复。

  • 2019年05月31日:互联网流传出可以导致系统蓝屏崩溃的PoC代码,有企图的攻击者可以利用此PoC工具对大量存在漏洞的系统执行远程拒绝服务攻击。

  • 2019年06月08日:Metasploit的商业版本开始提供能导致远程代码执行的漏洞利用模块。

  • 2019年07月31日:商业漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模块。

  • 2019年09月07日:@rapid7 在其metasploit-framework仓库公开发布了CVE-2019-0708的利用模块,漏洞利用工具已经开始扩散,已经构成了蠕虫级的攻击威胁。

已公开的漏洞利用工具可以极易的被普通攻击者使用,脚本化/批量化/自动化攻击将接踵而至。

经研判,红数位确认漏洞等级严重,影响面广,建议相关单位、企业内部立即进行安全排查,给在漏洞影响范围内的服务器、主机及时更新安全补丁。

0x01 影响范围

  • Windows 7 for 32-bit Systems Service Pack 1

  • Windows 7 for x64-based Systems Service Pack 1

  • Windows Server 2008 for 32-bit Systems Service Pack 2

  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

  • Windows Server 2008 for Itanium-Based Systems Service Pack 2

  • Windows Server 2008 for x64-based Systems Service Pack 2

  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

  • Windows XP SP3 x86

  • Windows XP Professional x64 Edition SP2

  • Windows XP Embedded SP3 x86

  • Windows Server 2003 SP2 x86

  • Windows Server 2003 x64 Edition SP2

  • Windows 8和Windows 10及之后版本的用户不受此漏洞影响。

0x02 检测及修复建议

安装官方补丁

微软官方已经发布更新补丁(包括Windows XP等停止维护的版本),请用户及时 进行补丁更新,获得并安装补丁的方式有2种:

离线安装补丁的详细步骤:

  1. 在“官方补丁下载链接中”找到当前受漏洞影响版本的补丁,下载该补丁。

  2. 双击下载的补丁并安装:

  3. 输入下方的命令检测补丁是否安装成功:

     wmic qfe list|findstr "4499164 4499175 4499149 4499180 4500705"

    如果补丁安装成功将返回安装补丁的信息:

  4. 重启计算机完成安全更新。

临时解决方案

  • 若用户不需要用到远程桌面服务,建议禁用该服务:

  • 开启系统防火墙或IP安全策略限制来源IP,即只允许指定IP访问。

  • 启用网络级认证(NLA),此方案仅适用于Windows 7, Windows Server 2008, and Windows Server 2008 R2:

0x03 官方补丁下载链接

操作系统版本 补丁下载链接
Windows 7 x86 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows 7 x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Embedded Standard 7 for x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Embedded Standard 7 for x86 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
Windows Server 2008 x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu
Windows Server 2008 Itanium http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu
Windows Server 2008 x86 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu
Windows Server 2008 R2 Itanium http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu
Windows Server 2008 R2 x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
Windows Server 2003 x86 http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe
Windows Server 2003 x64 http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe
Windows XP SP3 http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe
Windows XP SP2 for x64 http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe
Windows XP SP3 for XPe http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe
WES09 and POSReady 2009 http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/04/windowsxp-kb4500331-x86-embedded-chs_e3fceca22313ca5cdda811f49a606a6632b51c1c.exe

如果从官方源下载补丁较慢的话,也可以从此链接下载补丁:https://yunpan.360.cn/surl_yLFKiSgzK2D (提取码:68c8)

0x04 时间线

2019-05-14 微软官方发布0708安全公告

2019-09-07 metasploit-framework攻击框架公布漏洞利用代码,漏洞利用工具已经扩散,已经可以造成蠕虫级的安全威胁

2019-09-07 红数位更新预警

0x05 参考链接

  1. https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

  2. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

  3. https://github.com/rapid7/metasploit-framework/pull/12283/files

    @rapid7 Add initial exploit for CVE-2019-0708, BlueKeep #12283

远程桌面漏洞poc_十万火急,速打补丁!Windows RDP服务蠕虫级漏洞攻击被公开相关推荐

  1. 360更新补丁一直提示正在安装_远程利用POC公布|CVE20200796:微软发布SMBv3协议“蠕虫级”漏洞补丁通告...

    更多全球网络安全资讯尽在邑安全 www.eansec.com 0x00 事件描述 2020年3月11日,360CERT监测到有海外厂家发布安全规则通告,通告中描述了一处微软SMBv3协议的内存破坏漏洞 ...

  2. CVE-2021-34527: Windows Print Spooler 蠕虫级远程代码执行漏洞

    报告编号:B6-2021-062902 报告来源:360CERT 报告作者:360CERT 更新日期:2021-07-02 1 更新概览 1.漏洞简述新增360CERT对CVE-2021-34527( ...

  3. 【更新1.0:PoC发布】CVE-2020-1350: Windows DNS Server蠕虫级远程代码执行漏洞通告

    0x00 更新概览 2020年07月16日,360CERT监测到 FSecureLabs 发布了 PoC,可造成拒绝服务影响.本次更新标识该漏洞极易可能在短时间内出现大规模攻击态势. 具体更新详情可参 ...

  4. 【更新】本地提权工具公开|CVE-2020-0796:微软发布SMBv3协议“蠕虫级”漏洞补丁通告

    [更新]本地提权工具公开|CVE-2020-0796:微软发布SMBv3协议"蠕虫级"漏洞补丁通告 360-CERT [360CERT](javascript:void(0)

  5. 【更新】CVE-2020-0796:微软紧急发布SMBv3协议“蠕虫级”漏洞补丁通告

    [更新]CVE-2020-0796:微软紧急发布SMBv3协议"蠕虫级"漏洞补丁通告 360-CERT [360CERT](javascript:void(0)

  6. 微软披露首个由中国发现的蠕虫级漏洞 奇安信代码安全实验室获致谢

    聚焦源代码安全,网罗国内外最新资讯! 奇安信代码安全实验室研究员为微软发现一个严重的DNS服务器远程代码执行漏洞 (CVE-2021-24078),第一时间报告并协助其修复漏洞.该漏洞是首个由国内安全 ...

  7. mac远程桌面连接windows_web浏览器通过Myrtille连接Windows远程桌面

    目的:通过浏览器就能连接到Windows的远程桌面,而不用其他的远程桌面连接工具,只需在地址栏输入地址就访问. 方法:在目标机器安装Myrtille. 下载软件Myrtille_2.8.0_x86_x ...

  8. golang远程桌面服务器,go+govcl+go-ole实现的windows远程桌面

    一直用go写后台服务用,几乎没有写过gui程序,近日对各种的golang的gui库了解了一下,最后选择了用govcl试试,感觉还是不错的.用起来很顺手,下面把我写的基于MsTscAx控件的远程桌面程序 ...

  9. python连接windows远程桌面,如何使用Paramiko、Python在windows机器之间建立远程桌面连接...

    我正在尝试建立从windows计算机到其他windows计算机的远程桌面连接,并尝试了以下方案-import paramiko ssh = paramiko.SSHClient() ssh.load_ ...

最新文章

  1. [vSphere培训实录]利用模板部署虚拟机时的一个小错误
  2. iAD靠什么吸引用户打开这个应用?
  3. 立体视觉(Stereo Vision)-本征矩阵(essential matrix)和基本矩阵(fundamental matrix)
  4. 【SpringMVC学习07】SpringMVC中的统一异常处理
  5. PNG无损压缩工具Optipng【备忘】
  6. 广日电梯主板灯说明_日立电梯HGP主板说明和电子部件识别
  7. 区块链 fisco bcos webase-front docker方式部署
  8. 经济机器是怎样运行的 -- Ray Dalio
  9. 谷歌浏览器(chrome)无法正常打开网页的解决办法
  10. python的PIL库部分模块函数
  11. STM32软件模拟IIC---读写驱动AT24Cxx
  12. 在maven中创建jsp依赖
  13. 为什么我选择并且推崇用ROS开发机器人
  14. 互联网络——基本的单极互联网络
  15. springboot项目通过gradle制作webjars
  16. 笑中带泪的码农往事:入职三天被开,公司给100块叫我走人,有我惨?
  17. Python实现RGB转Lab颜色空间,PS:和PhotoShop转换结果一样
  18. 来写一波402博客地址(纯粹东搞西搞)
  19. Pytorch+cpp_cuda extension 课程一
  20. 大疆无人机,包邮送!真香呀~

热门文章

  1. python对象模型映射_看例子,学 Python(三)
  2. 计算机中心述职报告诉,计算中心述职报告
  3. java类使用其他类的变量_如何将java类中的变量加载到其他类
  4. android 开发卫星菜单,android之类似卫星菜单,来自定义ViewGroup。。。。。
  5. jsp页面获取后台传过来的list集合的长度
  6. 一图看懂hadoop分布式文件存储系统HDFS工作原理
  7. 《程序猿的呐喊》读书笔记(下)
  8. 通过Fiddler进行手机抓包
  9. Excel 文件读取
  10. ORA-12516:TNS:listener could not find available handler with matching protocol stack