关联漏洞
标题:
Microsoft Remote Desktop Services 资源管理错误漏洞
(CVE-2019-0708)
描述:Microsoft Windows和Microsoft Windows Server都是美国微软(Microsoft)公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Remote Desktop Services是其中的一个远程桌面服务组件。 Microsoft Remote Desktop Services中存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。以下
介绍
# CVE-2019-0708-generate-hosts
本程序使用nmap扫描3389_cidrs文件里面所列的CIDR地址(每行一个),生成3389_hosts文件,里面是可能的Windows开了3389远程桌面的机器IP地址,可以极大减少接下来的检测IP量。
## 依赖
python3、nmap
## 运行
将CIDR写入3389_cidrs,运行./generate.py。生成的3389_hosts可用来联系管理员或者继续扫描操作。
deep_generate.py针对有些人更改了自己机器的3389端口到其他端口,使用nmap指纹扫描出ms-wbt-server再写入3389_hosts。由于每台机器需要扫描1-65535个端口,速度非常慢。
## 原因
360于20190522释出[CVE-2019-0708: Windows RDP远程漏洞无损检测工具下载](https://cert.360.cn/warning/detail?id=1caed77a5620fc7da993fea91c237ed5),目前已经到第二版。只能针对单个IP检测。
[https://github.com/biggerwing/CVE-2019-0708-poc](https://github.com/biggerwing/CVE-2019-0708-poc)写了个批量检测工具,在文本文件里面写一堆IP检测。为什么用Python而不用PowerShell或者BAT,咱也不知道咱也不敢问。
[大连东软-孙福龙](https://github.com/SunFulong/CVE-2019-0708-poc)对其进行改进,可以只写CIDR地址段。
由于CIDR地址段较多,所以我写了小段代码,根据CIDR地址段,nmap扫描开放3389端口的机器IP列入检测。可以减少检测IP量。
建议在配合批量检查时从360官方源下载检测工具并替换以上GitHub文件名。
检测结果仅供参考。
## 建议
关于CVE-2019-0708类似漏洞,平时只要做好以下2件事就很安全了。
- 本机打开防火墙,管理端3389和22只允许某些管理员IP或堡垒机登录即可。如果这么做了,即时不打补丁也是**相对**安全的。
- 系统自动安装更新打开,不使用已经EOL的服务器(可参考宋崟川@LinkedIn文档),比如Windows2k3。平时注意下网络是否正常,是否有自动打补丁即可。当然打安全补丁会有时间差,比如这次CVE-2019-0708这个,服务器是在第二天早上3点自动打,这个时候可以人工介入安装即可。
- 3389改端口这个不推荐,不标准也不安全。
文件快照
[4.0K] /data/pocs/5db3d6a23bc2617c6d6a897ea98859a254ce7c83
├── [ 37] 3389_cidrs
├── [ 120] deep_generate.py
├── [ 653] generate.py
└── [2.2K] README.md
0 directories, 4 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。