威脅預警 | 蠕蟲級漏洞BlueKeep(CVE-2019-0708) EXP被公布

9月7日上午，睜開眼，連續多雨的上海終於放晴了，朋友圈卻下起了「暴雨」——那個號稱wannacry級別的漏洞 BlueKeep（CVE-2019-0708）漏洞利用發布了。

Metasploit 在博客和推特上相繼發布消息稱，Metasploit正式集成針對CVE-2019-0708（也稱為BlueKeep）的漏洞利用模塊，雖然目前的初始版本只適用於64位版本的Windows 7和Windows 2008 R2，但也釋放出了一個威脅信號，無數潛在攻擊者已經開始關注到這個信息，隨著後續模塊更新，BlueKeep漏洞的威力也會逐漸顯現出來。

目前已經留意到有不少安全人員或者實驗室已經進行了漏洞復現，進一步證實了該EXP的可用性。需要注意的是，該EXP易導致系統藍屏，引起系統服務中斷。建議紅隊等測試前，評估系統重要度，謹慎行事。

關於BlueKeep（CVE-2019-0708）

北京時間5月15日，微軟發布了針對遠程桌面服務的遠程執行代碼漏洞CVE-2019-0708的修復程序, 漏洞觸發無需用戶交互。這也就意味著，攻擊者可以利用該漏洞製作類似於2017年席卷全球的WannaCry類的蠕蟲病毒，進行大規模傳播和破壞。

遠程桌面服務（以前稱為終端服務）中存在遠程執行代碼漏洞，當未經身份驗證的攻擊者使用RDP連接到目標系統並發送特制請求時。成功利用此漏洞的攻擊者可以在目標系統上執行任意代碼。然後攻擊者可以安裝程序; 查看，更改或刪除數據; 或創建具有完全用戶權限的新帳戶。要利用此漏洞，攻擊者僅需要通過RDP向目標系統遠程桌面服務發送惡意請求。

本次漏洞時間線：

1、2019年5月14日

微軟發布遠程桌面服務遠程代碼執行漏洞CVE-2019-0708的安全通告及相應補丁，並特別針對此漏洞發布了專門的說明，提示這是一個可能導致蠕蟲泛濫的嚴重漏洞

2、2019年5月15日

鬥象智能安全平台發布漏洞預警信息及處置方案，隨後鬥象智能安全平台ARS/PRS上線漏洞檢測工具

3、2019年5月23日

互聯網公開管道出現具有非破壞性漏洞掃描功能的PoC程序

4、2019年5月25日

黑客開始大規模掃描存在漏洞的設備

5、2019年5月30日

微軟再次發布對於CVE-2019-0708漏洞做修補的提醒，基於漏洞的嚴重性強烈建議用戶盡快升級修復

6、2019年5月31日

互聯網公開管道出現能導致藍屏的PoC代碼，鬥象安全應急響應團隊已經確認了PoC代碼的可用性

7、2019年6月8日

Metasploit的商業版本開始提供能導致遠程代碼執行的漏洞利用模塊

8、2019年7月31日

商業漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模塊

9、2019年9月7日

已有公開管道的Metasploit CVE-2019-0708漏洞利用模塊發布，構成現實的蠕蟲威脅。

漏洞危害

成功利用此漏洞的攻擊者可以在目標系統上執行任意代碼。然後攻擊者可以安裝程序; 查看，更改或刪除數據; 或創建具有完全用戶權限的新帳戶。

影響範圍

產品

Windows 操作系統

版本

Windows 7

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003（已停止維護）

Windows XP（已停止維護）

組件

遠程桌面服務

修復方案

官方補丁

通過Windows 操作系統中的自動更新功能進行更新

針對系統版本參考文末列表下載補丁進行運行安裝

臨時解決建議

1、禁用遠程桌面服務

2、在防火牆中對遠程桌面服務端口(3389)進行阻斷

3、在Windows 7, Windows Server 2008, and Windows Server 2008 R2 上啟用網路身份認證

參考

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://github.com/rapid7/metasploit-framework/pull/12283?from=timeline&isappinstalled=0

官方補丁下載

以上是本次高危漏洞預警的相關信息，如有任何疑問或需要更多支持，可通過以下方式與我們取得聯繫。

聯繫電話：400-156-9866

Email：[email protected]