CVE-2019-0708漏洞复现

微软在5月月度更新中曾修复一个存在于远程桌面服务中的高危远程代码执行漏洞（CVE-2019-0708），该漏洞可以被蠕虫类攻击利用。鉴于此漏洞的威胁程度较高，微软当时针对已经停止维护的Windows版本也发布了安全补丁。

在对该漏洞的持续关注中发现，当地时间9月6日， Metasploit团队发布了针对此漏洞的Metasploit模块。据外媒报道，当前该模块需要在用户交互的情况下才能成功执行。Metasploit模块使用者必须向其提供一个参数，其中包含目标系统的信息。这意味着该漏洞利用不能以蠕虫方式进行传播，但可用于针对性的攻击。此外，BlueKeep Metasploit模块只适用于64位版本的Windows 7和Windows 2008 R2，但不适用于其他易受BlueKeep攻击的Windows版本。
但是有现成的利用工具出现后，还是降低了攻击者实施攻击的门槛，因此再次提醒未进行补丁安装的用户尽快安装升级进行防护。

受影响版本

Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003（已停止维护）
Windows XP（已停止维护）

不受影响版本

Windows 8
Windows 10

复现

靶机
设置允许远程连接

打开3389端口

关闭防火墙

进入msf

更新msf至最新

查看cve-2019-0708

使用该模块
options查看详细

输入靶机ip

开始进攻

发现没效果，但存在该漏洞

进入https://github.com/n1xbyte/CVE-2019-0708/blob/master/crashpoc.py
下载poc

执行poc

靶机蓝屏，攻击成功

官方补丁

微软官方已经发布更新补丁（包括官方停止维护版本），请用户及时进行补丁更新。获得并安装补丁的方式有三种：内网WSUS服务、微软官网Microsoft Update服务、离线安装补丁。
注：如果需要立即启动Windows Update更新，可以在命令提示符下键入wuauclt.exe /detectnow。
方式一：内网WSUS服务
适用对象：已加入搭建有WSUS服务器内网活动目录域的计算机，或手工设置了访问内网WSUS服务。
系统会定时自动下载所需的安全补丁并提示安装，请按提示进行安装和重启系统。
如果希望尽快安装补丁，请重新启动一次计算机即可。
方式二：微软官网Microsoft Update服务
适用对象：所有可以联网，不能使用内网WSUS服务的计算机，包括未启用内网WSUS服务的计算机、启用了内网WSUS服务但未与内网连接的计算机。
未启用内网WSUS服务的计算机，请确保Windows自动更新启用，按照提示安装补丁并重启计算机。
启用内网WSUS服务的计算机但没有与内网连接的计算机，请点击开始菜单-所有程序-Windows Update，点击“在线检查来自Windows Update的更新”，按提示进行操作。

若用户暂不方便安装补丁更新，可采取下列临时防护措施，对此漏洞进行防护。
1、 若用户不需要用到远程桌面服务，建议禁用该服务。
2、 在防火墙中对TCP 3389端口进行阻断。
3、 启用网络级认证（NLA），此方案适用于Windows 7, Windows Server 2008, and Windows Server 2008 R2。