2019 年 9 月 7 日凌晨, 深信服安全团队监测到关于 CVE-2019-0708 相关情报, 该情报披露 CVE-2019-0708 漏洞利用代码, 该 EXP 可以通过 RDP 协议进行远程代码执行攻击. 官方描述此漏洞相关危害可参考 2017 年 WannaCry 事件, 深信服千里目安全实验室强烈建议用户及时安装补丁以避免受到损失.
漏洞名称: Remote Desktop Protocol 漏洞
威胁等级 : 严重
影响范围 : Windows XP;Windows 7 ;Windows Server 2003;Windows Server 2008;Windows Server 2008 R2
漏洞类型 : 任意代码执行漏洞
利用难度 : 容易
目前漏洞 EXP 已经公开, 深信服提醒广大企业用户注意极有可能发生勒索攻击事件.
请广大用户务 必及时更新安全补丁!
请广大用户务 必及时更新安全补丁!
请广大用户务 必及时更新安全补丁!
漏洞复现
根据该 EXP 的发布者称, 该 EXP 针对 Windows 7 和 Windows Server 2008 R2 x64 . 深信服千里目第一时间进行了复现, 证实该 EXP 确实可导致任意代码执行.
该 EXP 被发布者在 Metasploit 的官方 GitHub 的 Pull Request 中, 但尚未加载进 Metasploit 的官方框架中.
如上图中所示, 按照 Metaploit 的正常使用流程即可加载该 EXP.RHOSTS 参数指定目标主机, target 参数指定目标主机的系统版本, 目前只有 Windows 7 和 Windows Server 2008 R2 两个版本. 加载 EXP 后, 执行, 即可获取目标主机的权限.
漏洞描述
CVE-2019-0708, 属于远程代码执行漏洞, 当未经身份验证的攻击者使用 RDP 连接到目标系统并发送特制请求时, 即可以触发该漏洞. 此漏洞属于预身份验证, 无需用户交互, 成功利用此漏洞的攻击者可以安装应用程序, 查看, 更改或删除数据或创建具有完全用户权限的新账户.
恶意攻击者还很有可能利用该漏洞编写定制的恶意软件, 利用此漏洞的恶意软件传播影响都可能与 2017 年 WannaCry 恶意软件遍布全球的事件类似, 由于 EXP 的公开发布, 需要广大用户更加警惕利用该漏洞的恶意软件的出现, 提前做好预防措施.
漏洞分析
成功利用漏洞的前提是将名称为 "MS_T120" 的静态信道成功绑定到正常信道以外. 由于微软官方在内部会使用一个名为 MS_T120 的信道, 因此此信道理论上不应该接收任意消息.
RDP 的内部组件有很多, 包括 svchost.exe 中的几个用户模式的 dll, 以及几个内核模式的驱动程序. 漏洞触发的原因是攻击者在 MS_T120 信道上发送消息, 这将导致 termdd.sys 驱动程序中触发一个双重释放漏洞(free-after-free).
在完成 RDP 协议的握手过程后, 将开始向已经绑定的各个信道中发送消息. MS_T120 信道的消息是由用户模式组件 --rdpwsx.dll 进行管理, 该 dll 创建一个线程, 该线程将在函数 rdpwsx!IoThreadFunc 中进行循环, 通过 I/O 端口读取消息.
数据通过 I/O 数据包传入后, 将进入 rdpwsx!MCSPortData 函数进行处理:
从函数中可以看到, 在 rdpwsx!MCSPortData 函数中, 有两个 opcode:0x0 和 0x2. 如果 opcode 为 0x2, 则调用 rdpwsx!HandleDisconnectProviderIndication 函数执行清理动作, 然后使用 rdpwsx!MCSChannelClose 关闭通道.
从理论上来说, 我们发送的数据包大小都在合法范围的 MS_T120 消息, 将会正常关闭 MS_T120 信道, 并断开连接程序(此时 opcode 为 0x2), 并且进行清理操作, 此时将不会产生远程代码执行和蓝屏崩溃的风险. 如果发送的数据包大小无效, 就会导致远程代码执行和拒绝服务.
影响范围
目前受影响的 Windows 版本:
- Microsoft Windows XP
- Microsoft Windows Server 2008 R2 for x64-based Systems SP1
- Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
- Microsoft Windows Server 2008 for x64-based Systems SP2
- Microsoft Windows Server 2008 for Itanium-based Systems SP2
- Microsoft Windows Server 2008 for 32-bit Systems SP2
- Microsoft Windows Server 2003
- Microsoft Windows 7 for x64-based Systems SP1
- Microsoft Windows 7 for 32-bit Systems SP1
深信服解决方案
深信服云眼在漏洞爆发之初, 已完成检测更新, 对所有用户网站探测, 保障用户安全. 不清楚自身业务是否存在漏洞的用户, 可注册信服云眼账号, 获取 30 天免费安全体验.
深信服云镜在漏洞爆发的第一时间就完成从云端下发本地检测更新, 部署云镜的用户只需选择紧急漏洞检测, 即可轻松, 快速检测此高危风险.
EDR 漏洞规则库紧急更新, 支持 Remote Desktop Protocol 任意代码执行漏洞 (CVE-2019-0708) 的检测和补丁分发, 漏洞规则库版本: 20190515185804. 联网客户可直接在线更新. 离线规则库已在 5 月 16 日上传至深信服社区, 有需要的客户请到深信服社区下载.
深信服推出安全运营服务, 通过以 "人机共智" 的服务模式帮助用户快速扩展安全能力, 针对此次紧急漏洞, 安全运营服务已在 05 月 28 日进行首次漏洞检测, 安全设备策略检查, 目前针对此次 EXP, 已经开始二次漏洞检测, 确保第一时间检测安全风险以及更新策略, 防范此类安全风险.
修复建议
1. 及时安装微软发布的安全更新补丁:
Microsoft 官方已经在 2019 年 5 月 14 日修复了该漏洞, 用户可以通过安装微软的安全更新来给系统打上安全补丁, 下载地址为:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
以及为已不受微软更新支持的系统 (Windows Server 2003 和 Windows XP) 提供的安全更新, 下载地址:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
2. 缓解措施(在无法及时安装微软安全更新的情况下作为临时性解决方案):
- 若用户不需要用到远程桌面服务, 建议禁用该服务.
- 开启网络级别身份验证(NLA), 此方案适用于 Windows 7, Windows Server 2008, Windows Server 2008 R2
以上缓解措施只能暂时性针对该漏洞对系统进行部分缓解, 强烈建议在条件允许的情况下及时安装微软安全更新.
参考链接
[1].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
[2].https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability-cve-2019-0708/
[3].https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-rdpbcgr/5073f4ed-1e93-45e1-b039-6e30c385867c
[4].https://zerosum0x0.blogspot.com/2019/05/avoiding-dos-how-bluekeep-scanners-work.html
[5].https://github.com/rapid7/metasploit-framework/pull/12283?from=timeline&isappinstalled=0
2019/5/14
Microsoft 发布安全更新公告并披露漏洞
2019/5/15
深信服千里目安全实验室发布漏洞预警
2019/5/22
深信服千里目实验室根据漏洞跟踪分析结果发布二次漏洞预警
2019/5/30
深信服千里目实验室发布 CVE-2019-0708 攻击趋势分析
2019/6/29
深信服安全研究团队针对某特定版本构造出 EXP, 证实该漏洞影响巨大, 再次发布预警
2019/9/7
深信服安全研究团队监测到 EXP 披露情报, 对 EXP 复现验证, 证实该 EXP 可导致服务器远程代码执行, 特再次发布预警, 提供解决方案给广大企业用户
来源: http://www.tuicool.com/articles/2ueUFbM