加入收藏 | 设为首页 | 会员中心 | 我要投稿 百科站长网 (https://www.baikewang.com.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 系统 > 正文

烽火狼烟丨Windows远程桌面服务远程代码漏洞EXP的安全影响力评估

发布时间:2022-11-02 13:09:05 所属栏目:系统 来源:
导读:  前言

  2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统如下:

  Windows 7

  Windows Server 2008 R2

  Wind
  前言
 
  2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统如下:
 
  Windows 7
 
  Windows Server 2008 R2
 
  Windows Server 2008
 
  Windows 2003
 
  Windows XP
 
  未经身份验证的攻击者可以使用RDP连接到目标系统并发送精心设计的请求。此漏洞是预身份验证,不需要用户交互,便可利用此漏洞在目标系统上执行任意代码。
 
  网络基本情况
 
  盛邦安全网络空间搜索引擎发现全球共有10942669台对互联网开放RDP服务的机器,具体分布情况分布见下图(颜色深浅代表数量多少,颜色越深数量越高)。
 
  在中国境内,盛邦安全网络空间搜索引擎发现的对互联网开放RDP服务的机器中,广东最多,有521184台。其次是香港,有453013台,北京排第三,有408558台。上海有282167台,浙江有230353台。

  漏洞复现
 
  靶机环境为windows7 sp1,如需Windows2008复现,需要执行:
 
  @echo offcolor 1c sc config MpsSvc start= auto sc start MpsSvc reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v "fDenyTSConnections" /t REG_DWORD /d 0 /f
 
  具体复现步骤如下 :
 
  1、导入RCE Ruby脚本,启动 msfconsole,使用reload_all重新加载msfconsole。
 
  2、use exploit/rdp/cve_2019_0708_bluekeep_rce,启用该漏洞攻击模块。
 
  3、set RHOSTS 定位主机(靶机主机)(x64 Windows 7或2008 R2) 。
 
  4、check检测是否存在CVE-2019-0708 RCE漏洞 。
 
  Check检查有一定概率导致蓝屏。
 
  5、set target ID数字(可选为0-4),靶机环境采用vm架构,选择3,实体机选择1,VirtualBox选择2,Hyper-v选择4.,攻击模板info信息如下:
 
  6、开始攻击,获取交互shell权限 。
 
  事件影响及其修复
 
  1、影响范围从Windows XP到Windows 2008 R2。2017年5月12日,全球的Windows系统遭遇一款名为Wannacry的勒索软件感染,该漏洞利用为windows SMB协议,Wannacry病毒攻击现已经扩散到74个国家,包括美国、英国、中国、俄罗斯、西班牙、意大利等,国内的教育、政府、能源、金融、医疗等多个行业均受害,存在多个变种,同样是利用Windows系统漏洞,随着RDP远程代码执行的EXP的公布,盛邦安全预测近期利用该漏洞的勒索病毒和蠕虫攻击将会大量爆发win2019远程桌面设置,其影响力堪比WannaCry勒索病毒,建议及时进行修复。
 
  2、关注微软官方,及时进行补丁更新,
 
  3、关闭远程桌面(以windows2008 R2为例)
 
  (1)右击计算机--属性--远程设置--不允许连接到这台计算机
 
  由于CVE2019-0708漏洞非常危险,利用此漏洞的攻击者可以在目标系统上执行任意代码,即使选择了仅允许使用网络级别身份验证的远程桌面的计算机连接(更安全),也要更改为“不允许连接到这台计算机”。
 
    (2)win+R -- services.msc
 
  (3)禁用Remote Access Connection Manager服务
 
  4、建议在互联网端防火墙封禁RDP服务端口,同时在交换机封禁RDP服务端口,以防止有存在未修复的机器。
 
  总结
 
  从盛邦安全网络空间搜索引擎的角度去探讨Windows远程桌面服务远程代码执行漏洞对全球造成的影响力。主要的结论如下:
 
  1、现阶段盛邦安全网络空间搜索引擎发现全球对互联网开放RDP服务的机器共有10942669台。
 
  2、攻击者在没有任何授权的情况下,可以远程直接攻击操作系统开放的RDP服务,在受害主机上执行恶意攻击行为,包括安装后门,查看、篡改隐私数据,创建拥有完全用户权限的新账户。
 

(编辑:百科站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2012-2022 https://www.baikewang.com.cn/ All Rights Reserved. 百科站长网

      ICP备案:浙ICP备07501134号