一个简单的工具来检测 BlueKeep 漏洞的利用 (CVE-2019-0708)

admin 2023年3月25日15:43:25评论30 views字数 783阅读2分36秒阅读模式
点击蓝字,关注我们

2019 年 5 月,微软发布了远程代码执行漏洞CVE-2019-0708的带外补丁更新,该漏洞也称为“BlueKeep”,驻留在远程桌面服务 (RDS) 的代码中。此漏洞是预身份验证,不需要用户交互,因此特别危险,因为它有可能被武器化为破坏性漏洞利用。如果成功利用,此漏洞可以以“系统”权限执行任意代码。

Microsoft 安全响应中心咨询表明此漏洞也可能是蠕虫病毒,这种行为在 Wannacry 和 EsteemAudit 等攻击中可见。了解此漏洞的严重性及其对公众的潜在影响后,微软罕见地为不再受支持的 Windows XP 操作系统发布了补丁,以保护 Windows 用户。

由于潜在的全球灾难性后果,Unit 42 研究人员认为分析此漏洞以了解 RDS 的内部工作原理以及如何利用它很重要。我们的研究深入研究了 RDP 的内部结构,以及如何利用它们在未打补丁的主机上执行代码。本博客讨论了如何使用位图缓存协议数据单元 (PDU)、刷新矩形 PDU 和 RDPDR 客户端名称请求 PDU 将数据写入内核内存。

检测-BlueKeep

一个简单的工具来检测 BlueKeep 漏洞的利用 (CVE-2019-0708)

要求:Pyshark ( https://github.com/KimiNewt/pyshark/ )

项目地址:https://github.com/tranqtruong/Detect-BlueKeep

参考:

https://unit42.paloaltonetworks.com/exploitation-of-windows-cve-2019-0708-bluekeep-three-ways-to-write-data-into-the-kernel-with-rdp-pdu/

原文始发于微信公众号(Ots安全):一个简单的工具来检测 BlueKeep 漏洞的利用 (CVE-2019-0708)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月25日15:43:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  一个简单的工具来检测 BlueKeep 漏洞的利用 (CVE-2019-0708) https://cn-sec.com/archives/1628589.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: