远程桌面漏洞poc_十万火急 速打补丁!Windows RDP服务蠕虫级漏洞攻击被公开

Windows RDP服务蠕虫级漏洞CVE--0708攻击方法已放出，该漏洞可能导致类似WannaCry的蠕虫病毒爆发，攻击者亦可利用漏洞入侵后释放勒索病毒，漏洞威力不逊于永恒之蓝。

速打补丁!!!

速打补丁!!!

转发起来!!!

报告编号：B6--090702

更新日期：-09-07

0x00 漏洞背景

5月14日微软官方发布安全补丁，修复了Windows远程桌面服务的远程代码执行漏洞，该漏洞影响了某些旧版本的Windows系统。

此漏洞是预身份验证且无需用户交互，这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机，其方式与WannaCry恶意软件的传播方式类似。成功利用此漏洞的攻击者可以在目标系统完成安装应用程序，查看、更改或删除数据，创建完全访问权限的新账户等操作。

此漏洞的相关事件时间线如下：

05月14日：微软官方发布远程桌面服务远程代码执行漏洞(CVE--0708)的安全通告及相应补丁。

05月30日：微软再次发布公告强烈建议受到CVE--0708漏洞影响的用户尽快升级修复。

05月31日：互联网流传出可以导致系统蓝屏崩溃的PoC代码，有企图的攻击者可以利用此PoC工具对大量存在漏洞的系统执行远程拒绝服务攻击。

06月08日：Metasploit的商业版本开始提供能导致远程代码执行的漏洞利用模块。

07月31日：商业漏洞利用套件Canvas加入了CVE--0708的漏洞利用模块。

09月07日：@rapid7 在其metasploit-framework仓库公开发布了CVE--0708的利用模块，漏洞利用工具已经开始扩散，已经构成了蠕虫级的攻击威胁。

已公开的漏洞利用工具可以极易的被普通攻击者使用，脚本化/批量化/自动化攻击将接踵而至。

经研判，红数位确认漏洞等级严重，影响面广，建议相关单位、企业内部立即进行安全排查，给在漏洞影响范围内的服务器、主机及时更新安全补丁。

0x01 影响范围

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server for 32-bit Systems Service Pack 2

Windows Server for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server for Itanium-Based Systems Service Pack 2

Windows Server for x64-based Systems Service Pack 2

Windows Server for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server R2 for Itanium-Based Systems Service Pack 1

Windows Server R2 for x64-based Systems Service Pack 1

Windows Server R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP Professional x64 Edition SP2

Windows XP Embedded SP3 x86

Windows Server SP2 x86

Windows Server x64 Edition SP2

Windows 8和Windows 10及之后版本的用户不受此漏洞影响。

0x02 检测及修复建议

安装官方补丁

微软官方已经发布更新补丁(包括Windows XP等停止维护的版本)，请用户及时 进行补丁更新，获得并安装补丁的方式有2种：

离线安装补丁的详细步骤：

在“官方补丁下载链接中”找到当前受漏洞影响版本的补丁，下载该补丁。

双击下载的补丁并安装：

输入下方的命令检测补丁是否安装成功：

wmic qfe list|findstr "4499164 4499175 4499149 4499180 4500705"

如果补丁安装成功将返回安装补丁的信息：

重启计算机完成安全更新。

临时解决方案

若用户不需要用到远程桌面服务，建议禁用该服务：

开启系统防火墙或IP安全策略限制来源IP，即只允许指定IP访问。

启用网络级认证(NLA)，此方案仅适用于Windows 7, Windows Server , and Windows Server R2：

0x03 官方补丁下载链接

如果从官方源下载补丁较慢的话，也可以从此链接下载补丁：/surl_yLFKiSgzK2D (提取码：68c8)

0x04 时间线

-05-14微软官方发布0708安全公告

-09-07metasploit-framework攻击框架公布漏洞利用代码，漏洞利用工具已经扩散，已经可以造成蠕虫级的安全威胁

-09-07红数位更新预警

0x05 参考链接

https://blogs./msrc//05/14/prevent-a-worm-by-updating-remote-desktop-services-cve--0708/

https://portal./en-US/security-guidance/advisory/CVE--0708

/rapid7/metasploit-framework/pull/12283/files

@rapid7 Add initial exploit for CVE--0708, BlueKeep #12283