一个简单的工具来检测 BlueKeep 漏洞的利用 (CVE-2019-0708)
2023-3-25 14:28:55 Author: Ots安全(查看原文) 阅读量:13 收藏

点击蓝字,关注我们

2019 年 5 月,微软发布了远程代码执行漏洞CVE-2019-0708的带外补丁更新,该漏洞也称为“BlueKeep”,驻留在远程桌面服务 (RDS) 的代码中。此漏洞是预身份验证,不需要用户交互,因此特别危险,因为它有可能被武器化为破坏性漏洞利用。如果成功利用,此漏洞可以以“系统”权限执行任意代码。

Microsoft 安全响应中心咨询表明此漏洞也可能是蠕虫病毒,这种行为在 Wannacry 和 EsteemAudit 等攻击中可见。了解此漏洞的严重性及其对公众的潜在影响后,微软罕见地为不再受支持的 Windows XP 操作系统发布了补丁,以保护 Windows 用户。

由于潜在的全球灾难性后果,Unit 42 研究人员认为分析此漏洞以了解 RDS 的内部工作原理以及如何利用它很重要。我们的研究深入研究了 RDP 的内部结构,以及如何利用它们在未打补丁的主机上执行代码。本博客讨论了如何使用位图缓存协议数据单元 (PDU)、刷新矩形 PDU 和 RDPDR 客户端名称请求 PDU 将数据写入内核内存。

检测-BlueKeep

一个简单的工具来检测 BlueKeep 漏洞的利用 (CVE-2019-0708)

要求:Pyshark ( https://github.com/KimiNewt/pyshark/ )

项目地址:https://github.com/tranqtruong/Detect-BlueKeep

参考:

https://unit42.paloaltonetworks.com/exploitation-of-windows-cve-2019-0708-bluekeep-three-ways-to-write-data-into-the-kernel-with-rdp-pdu/


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247497059&idx=3&sn=6158b5de494ee07587d5d42e88f74092&chksm=9badbc28acda353e1adf5c4413eeb33f28a42fe313c981ae96723657eeba3a36e4f138a9929a#rd
如有侵权请联系:admin#unsafe.sh