cve0708破绽检测

CVE-2019-0708破绽是Windows远程桌面服务中的一个高危破绽，攻击者可利用该破绽无需用户交互即可执行任意代码，危害堪比“永恒之蓝”。

CVE-2019-0708破绽，也被称为“永恒之蓝”级别的破绽，是一个严重的远程桌面服务（RDP）破绽，该破绽允许未经身份验证的攻击者通过发送特制的请求来利用远程桌面服务中的远程执行代码破绽，以下是关于CVE-2019-0708破绽检测的详细回答：

一、破绽描述

CVE-2019-0708破绽存在于Windows远程桌面服务中，攻击者可以通过发送特制的数据包来触发该破绽，进而在目标系统上执行任意代码，这种攻击方式不需要用户交互，因此具有很高的危险性，成功利用此破绽的攻击者可以在目标系统上安装程序、查看、更改或删除数据，甚至创建拥有完全用户权限的新帐户。

二、影响范围

该破绽影响了多个Windows版本，包括Windows 7、Windows Server 2008 R2等，这些系统如果开启了远程桌面服务（默认端口为3389），就可能受到攻击。

三、检测方法

1、使用MSF进行检测：从GitHub下载cve_2019_0708_bluekeep.rb文件，并将其放到/usr/share/metasploit-framework/modules/auxiliary/scanner/rdp目录下，然后启动MSF，并使用以下命令进行检测：

 use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
   set RHOSTS <目标IP>
   exploit

如果目标计算机存在该破绽，MSF将显示相应的检测结果。

2、使用专用检测工具：360公司发布了一款针对CVE-2019-0708破绽的检测程序——0708detector.exe，该程序可以检测目标系统是否存在此破绽，使用方法如下：

 0708detector.exe -t <目标IP> -p <目标端口>

目标IP是待检测的IP地址，目标端口一般是3389（远程桌面服务的默认端口），如果目标存在破绽，程序将输出相应的提示信息。

3、使用Nmap进行扫描：虽然Nmap本身不直接提供CVE-2019-0708破绽的检测功能，但可以通过扫描目标系统的开放端口和服务版本来间接判断其是否可能受到该破绽的影响，可以使用以下命令扫描目标系统的3389端口：

 nmap -sV -p 3389 <目标IP>

如果发现目标系统的3389端口开放，并且运行的是易受攻击的Windows版本，则可能需要进一步使用其他方法进行确认。

四、修复建议

1、安装官方补丁：微软已经为CVE-2019-0708破绽发布了安全更新程序，受影响的用户应尽快安装这些补丁以修复破绽。

2、禁用远程桌面服务：如果不需要使用远程桌面服务，可以考虑禁用该服务以减少潜在的攻击面。

3、启用网络级身份验证：在运行受支持版本的Windows 7、Windows Server 2008和Windows Server 2008 R2的系统上启用网络级身份验证（NLA），可以阻止未经身份验证的攻击者利用此破绽。

4、阻止TCP端口3389：在企业边界防火墙处阻止TCP端口3389，可以防止位于防火墙后面的系统尝试利用此破绽，请注意这并不能防止来自企业边界内的攻击。

五、FAQs

1、问：我已经安装了最新的Windows更新，还需要担心CVE-2019-0708破绽吗？

答：如果你的系统是Windows 7、Windows Server 2008 R2等易受攻击的版本，并且之前没有安装过针对CVE-2019-0708破绽的补丁，那么即使你安装了最新的Windows更新，仍然需要安装该破绽的专用补丁来确保系统安全。

2、问：我可以使用第三方软件来检测CVE-2019-0708破绽吗？

答：是的，除了上述提到的360公司的检测程序外，还有其他第三方软件或脚本可以用来检测该破绽，在选择和使用这些工具时，请务必确保其来源可靠，并遵循相关的使用说明和安全建议。

六、小编有话说

CVE-2019-0708破绽是一个严重的安全威胁，它影响了多个Windows版本，并可能被攻击者用来执行反面操作，为了保护系统免受该破绽的影响，用户应及时安装官方发布的安全更新程序，或者采取其他有效的防护措施，定期进行系统扫描和安全检查也是保持系统安全的重要手段。