Windows CVE-2019-0708 リモート デスクトップ コード実行脆弱性の再現問題

1. 脆弱性の説明

マイクロソフトは2019年5月15日、CVE番号CVE-2019-0708のWindowsリモートデスクトップサービス（RDP）のリモートコード実行の脆弱性を修正するセキュリティパッチをリリースしました。この脆弱性はID認証なしでリモートからトリガーされる可能性があり、その被害と影響は極めて大きいです。

現在、9月7日にmetasploit-frameworkの Pull request に EXP コードが一般公開されており、リモートコード実行が実現できることがテストされています。

2. 脆弱性の影響を受けるバージョン

ウィンドウズ7

Windows Server 2008 R2

Windows Server 2008

ウィンドウズ2003

ウィンドウズ

注: Windows 8およびWindows 10以降のバージョンはこの脆弱性の影響を受けません。

3. 脆弱性環境の構築

攻撃機: カリ 2018.2

対象マシン: win7 sp1 7061

4. 脆弱性の再現

1. msfを更新する

apt-get update

apt-get install metasploit-framework

2. 攻撃キットをダウンロードする

https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb を取得します。
https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb を取得します。
https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb で実行します。
https://github.com/rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb を取得します。

3. msf内の対応するファイルを置き換えます

cve_2019_0708_bluekeep_rce.rb /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb を追加します

rdp.rb は /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb を置き換えます

rdp_scanner.rb は /usr/share//metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb を置き換えます

cve_2019_0708_bluekeep.rb は /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb を置き換えます

4. msfを起動してファイルをロードする

5. 0708を検索すると、ファイルが正常に読み込まれたことを確認できます。

6. 脆弱性を悪用し、rhosts、ターゲット、ペイロードを設定する

7. expの実行を開始し、シェルを正常に取得します。

脆弱性の予防

1. ホットパッチ修復ツールをダウンロードします。ダウンロードアドレス: https://www.qianxin.com/other/CVE-2019-0708

注意：「CVE-2019-0708 ホット パッチ ツール」は、「Windows リモート デスクトップ サービスのリモート コード実行の脆弱性 CVE-2019-0708」に対してリリースされたホット パッチ修復ツールです。直接パッチを適用できない環境において、脆弱性の問題に対する一時的な解決策を提供できます。

 ファイルをダウンロードして解凍します。
2. win+R ショートカット キーを使用するか、[スタート] メニューから [実行] を選択して「cmd」と入力します。コマンドライン ツールを呼び出します。
3. コマンドライン ツールで、ツールが配置されているフォルダーに対してコマンドを実行します。4. 機能に対応するコマンドを入力し、ホット パッチ コマンドを有効にします: QKShield.exe /enable; ホット パッチ コマンドを無効にします: QKShield.exe/disable。
5. システムを再起動した後、ホットパッチを有効にするためにコマンドラインを再実行する必要があります。

2. ホットパッチを有効にする

3. 脆弱性があるかどうかを再度確認します。ホットパッチを適用した後は脆弱性がないことがわかります。

4. パッチ適用、脆弱性修復ツールのダウンロード、ダウンロードアドレス: https://www.qianxin.com/other/CVE-2019-0708

5. インストールが完了したら、「今すぐ修復」をクリックし、コンピュータを再起動します。

6. 脆弱性スキャンツールを使用して脆弱性があるかどうかを検出します。スキャンツールのダウンロードアドレス: https://www.qianxin.com/other/CVE-2019-0708

要約する

上記は、編集者が紹介したWindows CVE-2019-0708リモートデスクトップコード実行脆弱性再現問題です。皆様のお役に立てれば幸いです。ご質問がございましたら、メッセージを残していただければ、編集者がすぐに返信いたします。また、123WORDPRESS.COM ウェブサイトをサポートしてくださっている皆様にも感謝申し上げます。
この記事が役に立ったと思われた方は、ぜひ転載していただき、出典を明記してください。ありがとうございます!