Статья Критическая уязвимость в службе удаленного рабочего стола Windows (CVE-2019-0708 | BlueKeep)

gushmazuko

gushmazuko

Red Team
24.03.2017
153
382
Введение
Доброго времени суток, друзья!
Давненько меня тут не было. Сегодня решил поделиться с вами обзором уже довольно известной уязвимости под названием BlueKeep (CVE-2019-0708). Первая версия этой уязвимости, о которой, собственно и пойдет речь - затрагивает службу удаленного доступа (Remote Desktop Services) на всех версиях ОС от Windows XP до Windows Server 2008 R2 и позволяет выполнить RCE (Remote Code Execution). Т.е это позволяет неавторизованному атакующему произвести удаленное выполнение произвольного кода без участия пользователя. Уязвимость получила 9.8/10 баллов по .

Основная часть
Сразу перейдем к практике. Эксплойт еще не вошел в основную ветку Metasploit-Framework, но уже доступен в . Необходимо скачать оттуда 4 файла и положить их в корневую папку msf. Приступим:

Bash:
wget -r https://github.com/rapid7/metasploit-framework/raw/f528d3e332e8e2a5b91226a036741b7f6fb0f64c/lib/msf/core/exploit/rdp.rb \
wget -r https://github.com/rapid7/metasploit-framework/raw/f528d3e332e8e2a5b91226a036741b7f6fb0f64c/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb \
wget -r https://github.com/rapid7/metasploit-framework/raw/f528d3e332e8e2a5b91226a036741b7f6fb0f64c/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb \
wget -r https://github.com/rapid7/metasploit-framework/raw/f528d3e332e8e2a5b91226a036741b7f6fb0f64c/modules/auxiliary/scanner/rdp/rdp_scanner.rb

Убеждаемся что все скачалось и копируем в папку где установлен Metasploit, у меня это /opt/metasploit-git:

Критическая уязвимость в службе удаленного рабочего стола Windows (CVE-2019-0708 | BlueKeep)


Затем запускаем msf, ставим необходимые параметры

Критическая уязвимость в службе удаленного рабочего стола Windows (CVE-2019-0708 | BlueKeep)


Выставляем целевую систему и запускаем эксплойт

Критическая уязвимость в службе удаленного рабочего стола Windows (CVE-2019-0708 | BlueKeep)


Enjoy

Критическая уязвимость в службе удаленного рабочего стола Windows (CVE-2019-0708 | BlueKeep)

Обратите внимание мы получили доступ сразу с системными правами. Повытаскиваем пароли... Кстати эксплойт не редко приводит к (Синий экран смерти), как заявляет его создатель стабильность составляет 70%. Примерно так и есть, на моей практике 1 из 3 попыток завешается крахом.


Методы противодействия
Для успешной компрометации на системе должен быть отключен NLA, что не является чем то особенным даже в больших компаниях. Что это такое?
Проверка подлинности на уровне сети (Network-Level Authentication, NLA) заставляет пользователя вводить учетные данные в диалоговом окне на стороне клиента. По умолчанию, если на клиентской части нет проверки сертификата подлинности на уровне сети, то сервер не разрешит подключение, и оно не произойдет. NLA запрашивает клиентский компьютер предоставить свои учетные данные для проверки подлинности, еще до создания сеанса с сервером. Этот процесс еще называют фронтальной проверкой подлинности. (Взято из сети)

Критическая уязвимость в службе удаленного рабочего стола Windows (CVE-2019-0708 | BlueKeep)


Критическая уязвимость в службе удаленного рабочего стола Windows (CVE-2019-0708 | BlueKeep)

Т.е при включенном NLA, нам скажут Goodbye! Но имея логин и пароль от любой учетной записи в системе с правами удаленного доступа, все еще можно выполнить RCE. К сожалению я пока не смог это воспроизвести.
Эффективным же решением против данной проблемы, как не странно является установка официального патча выпущенного для всех уязвимых версий ОС, вплоть до Windows XP который давно не поддерживается Microsoft-ом.


Полезные ссылки:

На этом я завершаю сегодняшнюю встречу, благодарю за внимание!
 
W

WhiteHacK

Active member
18.08.2019
33
1
Сегодня решил поделиться с вами обзором уже довольно известной уязвимости под названием BlueKeep (CVE-2019-0708)
Все это конечно хорошо, и разложили все грамотно и по полочкам, читать приятно! :)
Вот только мы уже несколько дней обсуждаем этот exploit на форуме вот в этой теме.

PS: и основная проблема сейчас с этим exploit'ом, то что даже при отключеном "NLA" у жертвы, все ровно в ряде случаев exploit может не отработать должным образом, как выяснилось это связано с адресом на который нацелен exploit, при смене значения target (физическая машина или виртуалка), мы фактически нацелеваемся на атаку по другому смещению, при этом даже сами авторы exploit'a сообщили что этот адрес может зависеть от многих факторов, в том числе и от используемого на жертве ПО!

Например если у Вас проблемы с отработкой exploit'a на виртуальной машине, то в большинстве случаев достаточно изменить значение "GROOMSIZE"
set GROOMSIZE 50 (или 100 / 150 / 200 / 250 в зависимости от выделенного объема оперативной памяти для виртуалки), а вот на физической машине это не помогает :(
 
Последнее редактирование:
W

WhiteHacK

Active member
18.08.2019
33
1
Но имея логин и пароль от любой учетной записи в системе с правами удаленного доступа, все еще можно выполнить RCE. К сожалению я пока не смог это воспроизвести.
Имея логин и пароль вообще много чего можно сделать, но это же не наш метод, не так ли? ;)
Но если еще актуально, то например вот эти варианты подключения через SMB протокол зная логин и пароль.
 
gushmazuko

gushmazuko

Red Team
24.03.2017
153
382
Имея логин и пароль вообще много чего можно сделать, но это же не наш метод, не так ли? ;)
Но если еще актуально, то например вот эти варианты подключения через SMB протокол зная логин и пароль.
Имея логин и пароль от непривилегированного пользователя можно получить доступ с наивысшими правами в системе, выше чем у администратора. Но если ты не считаешь это серьезной проблемой, то не знаю.))

Пока ничего, возможно вскоре появиться PoC.
 
Diplomat

Diplomat

Member
28.11.2017
21
4
Ребят, все отлично, автору + за статью! Я продолжу еще в этом ключе, неплохой фидбек получил эксплоит на питоне от Ekultek!
В данной ситуации, автор минусанул пейлоад, строка 382 ( )
и у меня возник вопрос в каком формате самостоятельно можно сделать пэйлоад? И на сколькоо это будет успешнее чем в реализации Metasploit!
Автору за статью респект!