前言

2019年大家最期待大杀器已经出来了

介绍

9月7号凌晨 MSF更新了CVE-2019-0708漏洞利用模块，可直接在MSF下使用，但根据官方显示，该模块仅针对64位的Win7系统和Server 2008 R2，但对于Server 2008 R2也有漏洞的特定的条件。

注意事项

默认情况下，Metasploit的BlueKeep漏洞仅识别目标操作系统版本以及目标是否可能易受攻击。该漏洞目前不支持自动定位; 它要求用户在尝试进一步利用之前手动指定目标详细信息。如果模块在利用期间中断，或者指定了不正确的目标，则目标将以蓝屏崩溃。
漏洞利用的某些元素需要了解Windows内核内存的布局方式，这取决于操作系统版本和底层主机平台（虚拟或物理）; 用户当前需要正确指定目标主机，才可以成功运行漏洞利用程序。

漏洞验证

1、启动 msfconsole
2、 use exploit/rdp/cve_2019_0708_bluekeep_rce
3、 set RHOSTS 定位主机（x64 Windows 7或2008 R2）
4、 set PAYLOAD 以及所需的相关选项
5、 set TARGET 根据您的环境选择更具体的目标，
设置目标的机器架构，物理机，Virtualbox，VMware和Hyper-V都有，这一步很重要，是虚拟机还是物理机都会影响最终效果，
6、run

应急措施

官方补丁：
一、微软官方已经推出安全更新请参考以下官方安全通告下载并安装最新补丁：
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

缓解措施：

1. 如无法更新补丁，可以通过在系统上启动NLA（网络级别身份认证）暂时规避该漏洞风险。
2. 在企业边界防火墙阻断TCP协议inbound 3389的连接，或只允许可信IP进行连接。
3. 如无明确要求，可选择禁用3389（远程桌面服务）。