2019 年 5 月，微软发布了远程代码执行漏洞CVE-2019-0708的带外补丁更新，该漏洞也称为“BlueKeep”，驻留在远程桌面服务 (RDS) 的代码中。此漏洞是预身份验证，不需要用户交互，因此特别危险，因为它有可能被武器化为破坏性漏洞利用。如果成功利用，此漏洞可以以“系统”权限执行任意代码。

Microsoft 安全响应中心咨询表明此漏洞也可能是蠕虫病毒，这种行为在 Wannacry 和 EsteemAudit 等攻击中可见。了解此漏洞的严重性及其对公众的潜在影响后，微软罕见地为不再受支持的 Windows XP 操作系统发布了补丁，以保护 Windows 用户。

由于潜在的全球灾难性后果，Unit 42 研究人员认为分析此漏洞以了解 RDS 的内部工作原理以及如何利用它很重要。我们的研究深入研究了 RDP 的内部结构，以及如何利用它们在未打补丁的主机上执行代码。本博客讨论了如何使用位图缓存协议数据单元 (PDU)、刷新矩形 PDU 和 RDPDR 客户端名称请求 PDU 将数据写入内核内存。

检测-BlueKeep

一个简单的工具来检测 BlueKeep 漏洞的利用 (CVE-2019-0708)

要求：Pyshark ( https://github.com/KimiNewt/pyshark/ )

项目地址：https://github.com/tranqtruong/Detect-BlueKeep

参考：

https://unit42.paloaltonetworks.com/exploitation-of-windows-cve-2019-0708-bluekeep-three-ways-to-write-data-into-the-kernel-with-rdp-pdu/