• Приглашаем на KubanCTF

    Старт соревнований 14 сентября в 10:00 по москве

    Ссылка на регистрацию в соревнованиях Kuban CTF: kubanctf.ru

    Кодебай является технологическим партнером мероприятия

Статья Критическая уязвимость в службе удаленного рабочего стола Windows (CVE-2019-0708 | BlueKeep)

Введение
Доброго времени суток, друзья!
Давненько меня тут не было. Сегодня решил поделиться с вами обзором уже довольно известной уязвимости под названием BlueKeep (CVE-2019-0708). Первая версия этой уязвимости, о которой, собственно и пойдет речь - затрагивает службу удаленного доступа (Remote Desktop Services) на всех версиях ОС от Windows XP до Windows Server 2008 R2 и позволяет выполнить RCE (Remote Code Execution). Т.е это позволяет неавторизованному атакующему произвести удаленное выполнение произвольного кода без участия пользователя. Уязвимость получила 9.8/10 баллов по .

Основная часть
Сразу перейдем к практике. Эксплойт еще не вошел в основную ветку Metasploit-Framework, но уже доступен в pull request. Необходимо скачать оттуда 4 файла и положить их в корневую папку msf. Приступим:

Bash:
wget -r https://github.com/rapid7/metasploit-framework/raw/f528d3e332e8e2a5b91226a036741b7f6fb0f64c/lib/msf/core/exploit/rdp.rb \
wget -r https://github.com/rapid7/metasploit-framework/raw/f528d3e332e8e2a5b91226a036741b7f6fb0f64c/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb \
wget -r https://github.com/rapid7/metasploit-framework/raw/f528d3e332e8e2a5b91226a036741b7f6fb0f64c/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb \
wget -r https://github.com/rapid7/metasploit-framework/raw/f528d3e332e8e2a5b91226a036741b7f6fb0f64c/modules/auxiliary/scanner/rdp/rdp_scanner.rb


Убеждаемся что все скачалось и копируем в папку где установлен Metasploit, у меня это /opt/metasploit-git:

1568505542826.png


Затем запускаем msf, ставим необходимые параметры

1568506819965.png


Выставляем целевую систему и запускаем эксплойт

1568507054139.png


Enjoy

1568586302045.png

Обратите внимание мы получили доступ сразу с системными правами. Повытаскиваем пароли... Кстати эксплойт не редко приводит к (Синий экран смерти), как заявляет его создатель стабильность составляет 70%. Примерно так и есть, на моей практике 1 из 3 попыток завешается крахом.


Методы противодействия
Для успешной компрометации на системе должен быть отключен NLA, что не является чем то особенным даже в больших компаниях. Что это такое?
Проверка подлинности на уровне сети (Network-Level Authentication, NLA) заставляет пользователя вводить учетные данные в диалоговом окне на стороне клиента. По умолчанию, если на клиентской части нет проверки сертификата подлинности на уровне сети, то сервер не разрешит подключение, и оно не произойдет. NLA запрашивает клиентский компьютер предоставить свои учетные данные для проверки подлинности, еще до создания сеанса с сервером. Этот процесс еще называют фронтальной проверкой подлинности. (Взято из сети)

1568588752928.png


1568589072595.png

Т.е при включенном NLA, нам скажут Goodbye! Но имея логин и пароль от любой учетной записи в системе с правами удаленного доступа, все еще можно выполнить RCE. К сожалению я пока не смог это воспроизвести.
Эффективным же решением против данной проблемы, как не странно является установка официального патча выпущенного для всех уязвимых версий ОС, вплоть до Windows XP который давно не поддерживается Microsoft-ом.


Полезные ссылки:

На этом я завершаю сегодняшнюю встречу, благодарю за внимание!
 

WhiteHacK

Green Team
18.08.2019
42
9
BIT
0
Сегодня решил поделиться с вами обзором уже довольно известной уязвимости под названием BlueKeep (CVE-2019-0708)
Все это конечно хорошо, и разложили все грамотно и по полочкам, читать приятно! :)
Вот только мы уже несколько дней обсуждаем этот exploit на форуме вот в этой теме.

PS: и основная проблема сейчас с этим exploit'ом, то что даже при отключеном "NLA" у жертвы, все ровно в ряде случаев exploit может не отработать должным образом, как выяснилось это связано с адресом на который нацелен exploit, при смене значения target (физическая машина или виртуалка), мы фактически нацелеваемся на атаку по другому смещению, при этом даже сами авторы exploit'a сообщили что этот адрес может зависеть от многих факторов, в том числе и от используемого на жертве ПО!

Например если у Вас проблемы с отработкой exploit'a на виртуальной машине, то в большинстве случаев достаточно изменить значение "GROOMSIZE"
set GROOMSIZE 50 (или 100 / 150 / 200 / 250 в зависимости от выделенного объема оперативной памяти для виртуалки), а вот на физической машине это не помогает :(
 
Последнее редактирование:

WhiteHacK

Green Team
18.08.2019
42
9
BIT
0
Но имея логин и пароль от любой учетной записи в системе с правами удаленного доступа, все еще можно выполнить RCE. К сожалению я пока не смог это воспроизвести.
Имея логин и пароль вообще много чего можно сделать, но это же не наш метод, не так ли? ;)
Но если еще актуально, то например вот эти варианты подключения через SMB протокол зная логин и пароль.
 

gushmazuko

Green Team
24.03.2017
173
451
BIT
1
Имея логин и пароль вообще много чего можно сделать, но это же не наш метод, не так ли? ;)
Но если еще актуально, то например вот эти варианты подключения через SMB протокол зная логин и пароль.
Имея логин и пароль от непривилегированного пользователя можно получить доступ с наивысшими правами в системе, выше чем у администратора. Но если ты не считаешь это серьезной проблемой, то не знаю.))

Пока ничего, возможно вскоре появиться PoC.
 

Diplomat

Green Team
28.11.2017
25
4
BIT
0
Ребят, все отлично, автору + за статью! Я продолжу еще в этом ключе, неплохой фидбек получил эксплоит на питоне от Ekultek!
В данной ситуации, автор минусанул пейлоад, строка 382 (Ekultek/BlueKeep)
и у меня возник вопрос в каком формате самостоятельно можно сделать пэйлоад? И на сколькоо это будет успешнее чем в реализации Metasploit!
Автору за статью респект!
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!