漏洞資訊
2023年5月14日微軟官方發布安全補丁,修復了windows遠端桌面服務的遠端**執行漏洞cve-2019-0708(此漏洞是預身份驗證且無需使用者互動(無需驗證系統賬戶密碼),這就意味著此漏洞能夠通過網路蠕蟲的方式被利用。
利用方式是通過遠端桌面埠3389,rdp協議進行攻擊。通過rdp協議進行連線傳送惡意**執行命令到伺服器中去。如果被攻擊者利用,會導致伺服器入侵、中病毒及拒絕服務等危害,像wannacry、永恆之藍漏洞一樣大規模的感染。
漏洞概要
漏洞測試
補丁比較
通過分析補丁前後差異在於 termdd.sys 檔案的 icabindvirtualchannels 及 icarebindvirtualchannels ,增加了對 ms_t120 協議通道的判定,如果是通道協議名為 ms_t120 ,則設定 icabindchannel 的第三個引數為 31 。
服務端在初始化時,會建立名為ms_t120、 index 為 31 的通道,在收到 mcs connect initial 資料封包後進行通道建立和繫結操作,在 icabindvirtualchannels 函式中進行繫結時, icafindchannelbyname 函式只根據通道名進行通道查詢。當通道名為 ms_t120 (不區分大小寫)時,會找到系統內部通道 ms_t120 的通道並與之繫結,繫結後,通道索引會即被更改為新的通道索引。
poc測試
能夠導致藍屏的poc**已經在公開渠道發布,經測試可確認其可行性。
漏洞修復補丁及安全建議
詳細復現遠端桌面漏洞CVE 2019 0708
ed2k file cn windows 7 ultimate with sp1 x64 u 677408.iso 3420557312 b58548681854236c7939003b583a8078 如果用上面的系統,vm虛擬機器安裝的時候預設是家庭版的,所以在安裝的時候要選擇一下。安裝好如下 ...
MS12 020 遠端桌面漏洞
1.1.漏洞資訊介紹 microsoft 安全公告 ms12 020 遠端桌面中的漏洞可能允許遠端執行 攻擊者利用 ms12 020 漏洞向 受影響的系統傳送一系列特製 rdp 資料報,則有可能造成被攻擊系統藍屏 重啟或任意代 1 測試攻擊需要用到的工具及指令碼 ruby186 26.exe 523...
Windows遠端桌面服務蠕蟲漏洞
北京時間8月14日,微軟發布了8月安全更新補丁,其中包括兩個關鍵的遠端執行 rce 漏洞cve 2019 1181和cve 2019 1182。與之前修復的 bluekeep 漏洞 cve 2019 0708 類似,也具有蠕蟲特性,即利用這些漏洞的惡意軟體可能會在無需使用者互動的情況下在易受攻擊的機...