2019 年 5 月,微软发布了远程代码执行漏洞CVE-2019-0708的带外补丁更新,该漏洞也称为“BlueKeep”,驻留在远程桌面服务 (RDS) 的代码中。此漏洞是预身份验证,不需要用户交互,因此特别危险,因为它有可能被武器化为破坏性漏洞利用。如果成功利用,此漏洞可以以“系统”权限执行任意代码。
Microsoft 安全响应中心咨询表明此漏洞也可能是蠕虫病毒,这种行为在 Wannacry 和 EsteemAudit 等攻击中可见。了解此漏洞的严重性及其对公众的潜在影响后,微软罕见地为不再受支持的 Windows XP 操作系统发布了补丁,以保护 Windows 用户。
由于潜在的全球灾难性后果,Unit 42 研究人员认为分析此漏洞以了解 RDS 的内部工作原理以及如何利用它很重要。我们的研究深入研究了 RDP 的内部结构,以及如何利用它们在未打补丁的主机上执行代码。本博客讨论了如何使用位图缓存协议数据单元 (PDU)、刷新矩形 PDU 和 RDPDR 客户端名称请求 PDU 将数据写入内核内存。
检测-BlueKeep
一个简单的工具来检测 BlueKeep 漏洞的利用 (CVE-2019-0708)
要求:Pyshark ( https://github.com/KimiNewt/pyshark/ )
项目地址:https://github.com/tranqtruong/Detect-BlueKeep
参考:
https://unit42.paloaltonetworks.com/exploitation-of-windows-cve-2019-0708-bluekeep-three-ways-to-write-data-into-the-kernel-with-rdp-pdu/