about 1 results (0.02 seconds)

CVE-2019-0708:Windows RDP远程代码执行漏洞检测与防御

by LauCyun May 15 23:09:33 13,754 views

昨晚,微软紧急发布修复布丁,修复RDP服务漏洞。据称此漏洞堪比Wannacry。

远程桌面协议(RDP, Remote Desktop Protocol)是一个多通道(multi-channel)的协议,让用户(客户端或称“本地电脑”)连上提供微软终端机服务的电脑(服务器端或称“远程电脑”)。大部分的Windows都有客户端所需软件。

还记得当年被Wannacry支配的恐惧吗?电脑被加密,文件被加密,医院、公司、政府机构的电脑通通中招,整个世界都被Wannacry席卷。


图1 Wannacry勒索病毒

据统计,在全球范围内对互联网开放RDP服务的资产数量多达16,192,667台,其中归属中国大陆地区的受影响资产数量为7,932,549台。具体数据如下图:


图2 RDP服务资产统计

0x0 漏洞描述

当未经身份验证的攻击者使用RDP连接到目标系统并发送经特殊设计的请求时,远程桌面服务(以前称为“终端服务”)中存在远程执行代码漏洞。此漏洞是预身份验证,无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

若要利用此漏洞,攻击者需要通过RDP向目标系统远程桌面服务发送经特殊设计的请求。

微软官方公告:https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708

0x1 影响范围

受影响该漏洞的操作系统有:

  • Windows XP
  • Windows Server 2003
  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2008

Windows 8和Windows 10及之后版本的用户不受此漏洞影响。

0x2 检测

介绍一下检测环境,环境如下:

  • 靶机1: 
    • 系统:Windows XP SP3 x86
    • IP:192.168.0.185
  • 靶机2:
    • 系统:Windows 7 x64
    • IP:192.168.0.185
  • 攻击机:
    • 系统:Kali Linux
    • IP:192.168.0.5

推荐使用@zerosum0x0大神的poc,原理详见:https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability-cve-2019-0708/

首先,执行以下命令安装依赖库:

apt-get install -y make gcc g++ autoconf libssl-dev pkg-config git

接着,执行以下命令进行编译:

git clone https://github.com/zerosum0x0/CVE-2019-0708.git
cd CVE-2019-0708/rdesktop-fork-bd6aa6acddf0ba640a49834807872f4cc0d0a773/
./bootstrap
./configure --disable-credssp --disable-smartcard
make

OK,在当前目录产生rdesktop文件,执行它即可检测。


图3 检测结果

如图3所示,第三次是已经安装了补丁的情况下检测。

0x3 修复建议

1、及时安装更新

目前,微软已经发布针对该漏洞的补丁,请使用上述受影响的操作系统用户及时更新,受影响操作系统对应的补丁编号如下表:

操作系统版本 补丁编号
Windows 7 x86 KB4499175
Windows 7 x64 KB4499175
Windows Embedded Standard 7 for x86 KB4499175
Windows Embedded Standard 7 for x64 KB4499175
Windows Server 2008 Itanium KB4499180
Windows Server 2008 x86 KB4499180
Windows Server 2008 x64 KB4499180
Windows Server 2008 R2 Itanium KB4499175
Windows Server 2008 R2 x64 KB4499175
Windows Server 2003 KB4500331
Windows Server 2003 x64 KB4500331
Windows XP SP2 for x64 KB4500331
Windows XP SP3 for XPe KB4500331
Windows XP SP3 KB4500331
WES09 and POSReady 2009 for x86 KB4500331

2、临时解决建议

若暂不方便安装补丁更新,可采取下列临时防护措施,对此漏洞进行防护。

  • 禁用远程桌面服务;
  • 在防火墙中对远程桌面服务端口(3389)进行阻断;
  • 在Windows 7、Windows Server 2008、Windows Server 2008 R2 上启用网络身份认证。

0x4 防御

如果您有IPS、IDS或防火墙相关产品,可以使用如下规则进行阻断或检测:

# Look for the potential signs of CVE-2019-0708, pre encryption.
#
# Note this rule is specific to port 3389, but could be expanded
# using flowbits to other ports if an earlier packet is used for
# protocol detection, or potentially a string detection on 'Duca'
# (see https://wiki.wireshark.org/RDP).
#
# Sensible values for distances between objects have been chosen.
# An exploit could potentially change the reserved byte (second 
# in the packet) or pad the TPKT structure with junk to avoid the
# 'within' optimisations.
#
# 03 00                - TPKT header: version 3, reserved byte 0
#                        Must be at the beginning of the packet
# 02 f0                - X.224 COTP: length 2, PDU type 0x0f (DT_DATA)
# 00 05 00 14 7c 00 01 - T.124 Connect data, Generic Conference Control (ID 0.0.20.124.0.1)
#                        PDU size ranges from 230-400 bytes, 256 skipped in the rule
# 03 c0                - RDP Client Network Data
#                        Skip the header length and channel count (6 bytes)
# MS_T120 (C string)   - Name of patched control channel
#                        Must be within 372 bytes (31 channels * 12 bytes per channel)
alert tcp any any -> any 3389 (msg:"NCC GROUP RDP connection setup with MS_T120 channel, potential CVE-2019-0708"; flow:to_server,established; content:"|03 00|"; offset:0; depth:2; content:"|02 f0|"; distance:2; within:2; content:"|00 05 00 14 7c 00 01|"; within:512; content:"|03 c0|"; distance:3; within:384; content:"MS_T120|00|"; distance:6; within:372; threshold: type limit, track by_src, count 2, seconds 600; classtype:bad-unknown; reference:url,portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708; sid:190708; rev:1;)

0x5 参考

...

Tags Read More..