Windows长途代码实行破绽(CVE-2019-0708)预警 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Windows长途代码实行破绽(CVE-2019-0708)预警

申博_新闻事件 申博 151次浏览 未收录 0个评论

1、概述

        2019年5月14日微软官方宣布了对长途桌面效劳(Remote Desktop Services)的症结长途代码实行破绽CVE-2019-0708的平安补钉,受影响的Windows体系版本在启用了长途桌面效劳时轻易遭遇长途代码实行进击。该破绽不须要用户交互,即该破绽能够被应用提议蠕虫类进击,相似WannaCry(魔窟)讹诈蠕虫事宜。虽然现在没有发明对该破绽的应用,但以后进击者极能够将该破绽应用加入到恶意代码中,就像MS17-010(永久之蓝)破绽一样,微软在2017年3月14日宣布MS17-010破绽补钉,2017年5月17日WannaCry(魔窟)应用永久之蓝破绽举行流传。

        依据相干数据源统计,现在,环球大众收集中有近300多万计算机开启了3389端口,即未转变端口的长途桌面效劳(RDP),关于没有经由设置装备摆设加固的内网更有大批机械开放相干端口效劳。因而,该破绽既能够构成互联网大面积的蠕虫流传、僵尸收集大面积沾染,也能构成内网大面积横向挪动进击能力。

2、破绽形貌

        破绽编号:CVE-2019-0708

        该破绽许可未经身份验证的进击者运用长途桌面效劳衔接到目的体系并发送精心设计过的要求,应用其身份预认证、不须要用户交互确认赞同吸收衔接的缺点,即可在目的体系上实行恣意代码,涵盖但不限于装置顺序,检察、变动或删除目的体系内数据,或建立具有完整用户权限的新账户。

        应用此破绽须要知足以下前提:

        1. 在Windows操作体系启用了Remote Desktop Services长途桌面效劳,且未实时装置更新补钉;

        2.进击者经由过程RDP向目的体系长途桌面效劳发送精心设计的要求。

3、受影响局限

        受影响的Windows操作体系版本:

        Windows XP SP3 x86

        Windows XP 专业 x64 版 SP2

        Windows XP Embedded SP3 x86

        Windows 7 for 32-bit Systems Service Pack 1

        Windows 7 for x64-based Systems Service Pack 1

《Lateral Movement — SCM and DLL Hijacking Primer》的应用扩大

0x00 前言 《Lateral Movement — SCM and DLL Hijacking Primer》介绍了三个dll(wlbsctrl.dll、TSMSISrv.dll和TSVIPSrv.dll)可以通过SCM(Service Control Manager)实现远程执行。本文将要扩展这三个dll的用法,分别介绍提权和后门利用的方法。 0x01 简介 本文将要介绍以下内容: · 利用wlbsctrl.dll实现的提权 · 利用TSMSISrv.dll和TSVIPSrv.dll实现的后门 · 利用MF.dll实现的后门 0x03 wlbsctrl.dll的利用 1、原文中的用法 IKEEXT(IKE and AuthIP IPsec Keying Modules)服务在启动时会加载wlbsctrl.dll,但Windows系统默认配置下该dll不存在,如果我们将自己的dll放在这个位置,在服务启动时就能加载该dll POC:https://github.com/djhohnstein/wlbsctrl_poc 测试系统: Win7 x64 这里使用的dll不需要指定导出函数,所以可以直接使用之前我的测试dll: https://github.com/3gstudent/test/raw/master/calc_x64.dll 本地执行的用法: (需要管理员权限) copy calc_x64.dll C:\Windows\System32\wlbsctrl.dll
sc query IKEEXT
sc stop IKEEXT
sc start IKEEXT 远程执行的用法: copy calc_x64.dll \\TARGET\C$\Windows\System32\wlbsctrl.dll
sc \\TARGET query IKEEXT
sc \

        Windows Server 2003 SP2 x86

        Windows Server 2003 x64 版本 SP2

        Windows Server 2008 for 32-bit Systems Service Pack 2

        Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

        Windows Server 2008 for Itanium-Based Systems Service Pack 2

        Windows Server 2008 for x64-based Systems Service Pack 2

        Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

        Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

        Windows Server 2008 R2 for x64-based Systems Service Pack 1

        Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

4、修复及减缓发起

        1、尽快装置此破绽的补钉(纵然已禁用长途桌面效劳)[1]。

        2、若是不须要运用长途桌面效劳,发起禁用该效劳。

        3、在受影响版本的体系上启用收集级身份验证(NLA);启用NLA后,进击者须要运用目的体系上的有用账户对长途桌面效劳举行身份验证,能力胜利应用该破绽。

        4、 在企业外围或界限防火墙上布置平安策略,阻挠TCP端口3389。

        5、 安天智甲终端防备体系与安天资产平安运维体系组合运用,能够充足削减暴出面,构成要挟防备相应的基本框架。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Windows长途代码实行破绽(CVE-2019-0708)预警
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址