Windows CVE-2019-0708: Problem bei der Reproduktion der Sicherheitslücke bei der Codeausführung auf Remotedesktop

1. Beschreibung der Schwachstelle

Am 15. Mai 2019 veröffentlichte Microsoft einen Sicherheitspatch zur Behebung der Sicherheitslücke bei der Remotecodeausführung im Windows Remote Desktop Service (RDP) mit der CVE-Nummer CVE-2019-0708. Diese Sicherheitslücke kann ohne Identitätsauthentifizierung aus der Ferne ausgelöst werden, und der Schaden und die Auswirkungen sind extrem groß.

Derzeit, am 7. September, wurde der EXP-Code für die Pull Requests des metasploit-framework öffentlich freigegeben und es wurde getestet, ob eine Remotecodeausführung möglich ist.

2. Von der Sicherheitslücke betroffene Versionen

Windows 7

Windows Server 2008 R2

Windows Server 2008

Windows 2003

Windows XP

Hinweis: Windows 8 und Windows 10 und spätere Versionen sind von dieser Sicherheitslücke nicht betroffen

3. Aufbau einer Schwachstellenumgebung

Kampfflugzeug: Kali 2018.2

Zielcomputer: Win7 SP1 7061

4. Reproduktion von Sicherheitslücken

1. Aktualisieren Sie msf

apt-get update

apt-get install metasploit-framework

2. Laden Sie das Angriffskit herunter

wget https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb
wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb
wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
wget https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

3. Ersetzen Sie die entsprechenden Dateien in msf

cve_2019_0708_bluekeep_rce.rb Fügen Sie /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb hinzu.

rdp.rb ersetzt /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb

rdp_scanner.rb ersetzt /usr/share//metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb

cve_2019_0708_bluekeep.rb ersetzt /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

4. Starten Sie msf und laden Sie die Datei

5. Suchen Sie nach 0708 und Sie sehen, dass die Datei erfolgreich geladen wurde.

6. Nutzen Sie die Sicherheitslücke aus und legen Sie Rhosts, Ziel und Payload fest

7. Starten Sie die Ausführung von exp und rufen Sie die Shell erfolgreich auf

Prävention von Sicherheitslücken

1. Laden Sie das Hot Patch-Reparaturtool herunter, Download-Adresse: https://www.qianxin.com/other/CVE-2019-0708

Hinweis: Das „CVE-2019-0708 Hot Patch Tool“ ist ein Hot Patch-Reparaturtool, das für die „Windows Remote Desktop Service Remote Code Execution Vulnerability CVE-2019-0708“ eingeführt wurde. Es kann eine vorübergehende Lösung für das Schwachstellenproblem in einer Umgebung bieten, die nicht direkt gepatcht werden kann.

 Laden Sie die Datei herunter und entpacken Sie sie.
2. Verwenden Sie die Tastenkombination Win+R oder wählen Sie „Ausführen“ aus dem Startmenü und geben Sie cmd ein. Rufen Sie das Kommandozeilentool auf.
3. Führen Sie im Befehlszeilentool den Befehl in dem Ordner aus, in dem sich das Tool befindet. 4. Geben Sie den der Funktion entsprechenden Befehl ein, aktivieren Sie den Hotpatch-Befehl: QKShield.exe /enable; deaktivieren Sie den Hotpatch-Befehl: QKShield.exe/disable.
5. Nach dem Neustart des Systems müssen Sie die Befehlszeile erneut ausführen, um den Hotpatch zu aktivieren

2. Hot Patching aktivieren

3. Überprüfen Sie erneut, ob eine Sicherheitslücke vorliegt. Sie können sehen, dass nach der Anwendung des Hotpatches keine Sicherheitslücke mehr vorliegt.

4. Patchen, Download des Tools zur Behebung von Sicherheitslücken, Download-Adresse: https://www.qianxin.com/other/CVE-2019-0708

5. Klicken Sie auf „Jetzt reparieren“ und starten Sie Ihren Computer neu, nachdem die Installation abgeschlossen ist.

6. Verwenden Sie Schwachstellen-Scan-Tools, um festzustellen, ob Schwachstellen vorhanden sind. Download-Adresse des Scan-Tools: https://www.qianxin.com/other/CVE-2019-0708

Zusammenfassen

Das Obige ist das vom Herausgeber eingeführte Problem der Reproduktion von Schwachstellen bei der Remote-Desktop-Codeausführung (Windows CVE-2019-0708). Ich hoffe, es wird allen helfen. Wenn Sie Fragen haben, hinterlassen Sie mir bitte eine Nachricht und der Herausgeber wird Ihnen rechtzeitig antworten. Ich möchte auch allen für ihre Unterstützung der Website 123WORDPRESS.COM danken!
Wenn Sie diesen Artikel hilfreich finden, können Sie ihn gerne abdrucken und dabei bitte die Quelle angeben. Vielen Dank!