微软漏洞BlueKeep(CVE-2019-0708)已上线
无国界 2019-09-09
北京时间9月7日凌晨,有开发者在GitHub上发布了Windows RDP服务蠕虫级漏洞 (CVE-2019-0708) 的Metasploit利用模块,可导致旧版本Windows无交互远程代码执行。
随着工具的扩散,该漏洞有可能导致类似WannaCry泛滥的情况发生,已经构成了蠕虫级的现实安全威胁。 以下转载自奇安信威胁情报中心的预警: 2019年05月15日,微软公布了5月的补丁更新列表,在其中存在一个被标记为严重的RDP(远程桌面服务)远程代码执行漏洞,攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据在目标系统上执行恶意代码,从而获取机器的完全控制。此漏洞主要影响的设备为Windows 7、Window Server 2008以及微软已不再支持的Windows 2003、Window XP操作系统,涉及系统在国内依然有大量的使用,所以此漏洞的影响面巨大。
本次漏洞时间线
2019年5月14日
微软发布远程桌面服务远程代码执行漏洞CVE-2019-0708的安全通告及相应补丁,并特别针对此漏洞发布了专门的说明,提示这是一个可能导致蠕虫泛滥的严重漏洞.
2019年5月15日
斗象智能安全平台发布漏洞预警信息及处置方案,随后斗象智能安全平台ARS/PRS上线漏洞检测工具.
2019年5月23日
互联网公开渠道出现具有非破坏性漏洞扫描功能的PoC程序.
2019年5月25日
黑客开始大规模扫描存在漏洞的设备.
2019年5月30日
微软再次发布对于CVE-2019-0708漏洞做修补的提醒,基于漏洞的严重性强烈建议用户尽快升级修复.
2019年5月31日
互联网公开渠道出现能导致蓝屏的PoC代码,斗象安全应急响应团队已经确认了PoC代码的可用性.
2019年6月8日
Metasploit的商业版本开始提供能导致远程代码执行的漏洞利用模块.
2019年7月31日
商业漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模块.
2019年9月7日
已有公开渠道的Metasploit CVE-2019-0708漏洞利用模块发布,构成现实的蠕虫威胁。
漏洞危害
成功利用此漏洞的攻击者可以在目标系统上执行任意代码。然后攻击者可以安装程序; 查看,更改或删除数据; 或创建具有完全用户权限的新帐户。
影响范围: Windows 操作系统
版本
Windows 7
Windows Server 2008 R2(即将停止维护)
Windows Server 2008(即将停止维护)
Windows Server 2003(已停止维护)
Windows XP(已停止维护)
组件: 远程桌面服务
修复方案
1、官方补丁
通过Windows 操作系统中的自动更新功能进行更新;
针对系统版本参考文末列表下载补丁进行运行安装。
2、临时解决建议
禁用远程桌面服务;
在防火墙中对远程桌面服务端口(3389)进行阻断;
在Windows 7, Windows Server 2008, and Windows Server 2008 R2 上启用网络身份认证。
随着工具的扩散,该漏洞有可能导致类似WannaCry泛滥的情况发生,已经构成了蠕虫级的现实安全威胁。 以下转载自奇安信威胁情报中心的预警: 2019年05月15日,微软公布了5月的补丁更新列表,在其中存在一个被标记为严重的RDP(远程桌面服务)远程代码执行漏洞,攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据在目标系统上执行恶意代码,从而获取机器的完全控制。此漏洞主要影响的设备为Windows 7、Window Server 2008以及微软已不再支持的Windows 2003、Window XP操作系统,涉及系统在国内依然有大量的使用,所以此漏洞的影响面巨大。
本次漏洞时间线
2019年5月14日
微软发布远程桌面服务远程代码执行漏洞CVE-2019-0708的安全通告及相应补丁,并特别针对此漏洞发布了专门的说明,提示这是一个可能导致蠕虫泛滥的严重漏洞.
2019年5月15日
斗象智能安全平台发布漏洞预警信息及处置方案,随后斗象智能安全平台ARS/PRS上线漏洞检测工具.
2019年5月23日
互联网公开渠道出现具有非破坏性漏洞扫描功能的PoC程序.
2019年5月25日
黑客开始大规模扫描存在漏洞的设备.
2019年5月30日
微软再次发布对于CVE-2019-0708漏洞做修补的提醒,基于漏洞的严重性强烈建议用户尽快升级修复.
2019年5月31日
互联网公开渠道出现能导致蓝屏的PoC代码,斗象安全应急响应团队已经确认了PoC代码的可用性.
2019年6月8日
Metasploit的商业版本开始提供能导致远程代码执行的漏洞利用模块.
2019年7月31日
商业漏洞利用套件Canvas加入了CVE-2019-0708的漏洞利用模块.
2019年9月7日
已有公开渠道的Metasploit CVE-2019-0708漏洞利用模块发布,构成现实的蠕虫威胁。
漏洞危害
成功利用此漏洞的攻击者可以在目标系统上执行任意代码。然后攻击者可以安装程序; 查看,更改或删除数据; 或创建具有完全用户权限的新帐户。
影响范围: Windows 操作系统
版本
Windows 7
Windows Server 2008 R2(即将停止维护)
Windows Server 2008(即将停止维护)
Windows Server 2003(已停止维护)
Windows XP(已停止维护)
组件: 远程桌面服务
修复方案
1、官方补丁
通过Windows 操作系统中的自动更新功能进行更新;
针对系统版本参考文末列表下载补丁进行运行安装。
2、临时解决建议
禁用远程桌面服务;
在防火墙中对远程桌面服务端口(3389)进行阻断;
在Windows 7, Windows Server 2008, and Windows Server 2008 R2 上启用网络身份认证。
