Esteemaudit(XP&2003 3389 0day)缓解方法初探

admin 2022年1月20日14:05:50安全文章评论45 views1494字阅读4分58秒阅读模式

Esteemaudit,4月份时候Shadow Brokers公布的其中一个漏洞攻击工具,针对windows 2003及windows XP的RDP(3389)的远程攻击0day。日前启明星辰也及时发布了针对这个漏洞的预警《NSA之“Esteemaudit”深度分析与验证:警惕下一次“蓝”》。外面安全厂商以及freebuf安全社区里面都已经有很多详细的分析以及漏洞复现步骤。但是由于windowsXP和windows 2003已经EOS了,暂时又没有MS17-010那么好的待遇推出专门的补丁。目前流行大部分的建议都是关闭3389端口或升级系统到win7之类的。但是对甲方来说似乎都不太现实。笔者根据前人的深入分析,尝试了一些方法来缓解这个漏洞的影响。

原理:

在5月9日,腾讯安全联合实验室发布过针对的Esteemaudit的分析。当中提到:

windows server 2003在处理来自Gemplus GemSAFE Card的远程登录过程中存在一个越界写漏洞和一个逻辑不正确漏洞,(漏洞)利用代码模拟出一个Gemplus GemSAFE card硬件设备来与服务器进行远程桌面通信,通信协议则采用的是开源的RDP。通过伪造一系列smart card登录认证所需要的数据包来触发漏洞并最终实现远程代码执行。

Esteemaudit(XP&2003 3389 0day)缓解方法初探

缓解方法:

因此笔者这里尝试通过注册表禁用的方法。

注册表路径为HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyDefaultsProviderGemplusGemSAFE Card CSP v1.0,默认值Type为1,修改为0

之后再利用工具进行攻击则不再成功。

Esteemaudit(XP&2003 3389 0day)缓解方法初探

以上测试在windowsXP的SP3及windows 2003企业版上有效。而且无需重启系统,策略即生效,攻击失败。

Esteemaudit(XP&2003 3389 0day)缓解方法初探

Esteemaudit(XP&2003 3389 0day)缓解方法初探

其他的一些方法:

1)今天凌晨,国外也有人提出通过反注册gpkcsp.dll来实现防御。测试发现反注册后注册表中就没有Gemplus GemSAFE Card CSP v1.0的项目了。所以再次攻击也无法成功了。

regsvr32 /s /u gpkcsp.dll

2)5月17日的时候,0patch公司提出已经研制出修复的补丁,但是看上去要安装0path的客户端。

Esteemaudit(XP&2003 3389 0day)缓解方法初探

测试当中有几个坑:

  • 所有被测试的靶机需要加入域环境,不然攻击不会成功。

  • 之前对这个漏洞的认识,认为需要启动“智能卡认证”的功能才生效。

    实际上,windows XP下“本地安全策略中智能卡交互登入”的功能默认是没有配置的,windows 2003默认是禁用的。而注册表的Gemplus GemSAFE Card CSP v1.0值均为“1”。在测试过程中发现,的确是默认情况就能够实现攻击,而无需启用智能卡认证。

  • 测试XP系统的时候,如果启动了“本地安全策略中智能卡交互登入”,那么就悲催了,会提示登录系统不成功。

最后

最新的消息,目前已经为这个漏洞分配了一个CVE号,CVE-2017-9073,说不定微软会推出针对这个漏洞的补丁。但是目前资源情况下,不妨尝试通过修改注册表来缓解。

以上测试如不正确之处和更多的缓解方案,欢迎留言交流。


参考链接:

http://www.freebuf.com/articles/system/132171.html

http://slab.qq.com/news/tech/1570.html

https://blog.fortinet.com/2017/05/11/deep-analysis-of-esteemaudit

本文始发于微信公众号(张三丰的疯言疯语):Esteemaudit(XP&2003 3389 0day)缓解方法初探

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月20日14:05:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Esteemaudit(XP&2003 3389 0day)缓解方法初探 http://cn-sec.com/archives/478709.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: