Bez nazwy

Po sieci panoszą się już robaki, które wykorzystując tą podatność budują botnety złożone z serwerów Windows.

Oczywiście robaki te szukają maszyn z wystawionym RDP na zewnątrz, wbrew logice jest takich maszyn bardzo dużo.

A co jeśli ktoś uzyska dostęp do naszej np. drukarki? Opisywałem jak z drukarki dostać się do sieci wewnętrznej naszej instytucji.

Oczywiście w ten sposób dostanie się na podatne serwery Windows w naszej sieci.

 

Najprostszy i najszybszy sposób na znalezienie otwartych RDP w naszej sieci:

nmap 192.168.1.0/24 -p 3389 –open

 

Poniżej listing jak sprawdzić przy pomocy Metasploit czy nasze maszyny są podatne.

 

msf5 > search BlueKeep

Matching Modules
================

# Name Disclosure Date Rank Check Description
- ---- --------------- ---- ----- -----------
0 auxiliary/scanner/rdp/cve_2019_0708_bluekeep 2019-05-14 normal Yes CVE-2019-0708 BlueKeep Microsoft Remote Desktop RCE Check


msf5 > use auxiliary/scanner/rdp/cve_2019_0708_bluekeep
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > show options

Module options (auxiliary/scanner/rdp/cve_2019_0708_bluekeep):

Name Current Setting Required Description
---- --------------- -------- -----------
RDP_CLIENT_IP 192.168.0.100 yes The client IPv4 address to report during connect
RDP_CLIENT_NAME rdesktop no The client computer name to report during connect, UNSET = random
RDP_DOMAIN no The client domain name to report during connect
RDP_USER no The username to report during connect, UNSET = random
RHOSTS yes The target address range or CIDR identifier
RPORT 3389 yes The target port (TCP)
THREADS 1 yes The number of concurrent threads


Auxiliary action:

Name Description
---- -----------
Scan Scan for exploitable targets


msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set rhosts 192.168.1.82
rhosts => 192.168.1.82
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > run

[*] 192.168.1.82:3389 - The target service is running, but could not be validated.
[*] 192.168.1.82:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set rhosts 192.168.1.248
rhosts => 192.168.1.248
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > run

[+] 192.168.1.248:3389 - The target is vulnerable.
[*] 192.168.1.248:3389 - Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >