Po sieci panoszą się już robaki, które wykorzystując tą podatność budują botnety złożone z serwerów Windows.
Oczywiście robaki te szukają maszyn z wystawionym RDP na zewnątrz, wbrew logice jest takich maszyn bardzo dużo.
A co jeśli ktoś uzyska dostęp do naszej np. drukarki? Opisywałem jak z drukarki dostać się do sieci wewnętrznej naszej instytucji.
Oczywiście w ten sposób dostanie się na podatne serwery Windows w naszej sieci.
Najprostszy i najszybszy sposób na znalezienie otwartych RDP w naszej sieci:
nmap 192.168.1.0/24 -p 3389 –open
Poniżej listing jak sprawdzić przy pomocy Metasploit czy nasze maszyny są podatne.
msf5 > search BlueKeep Matching Modules ================ # Name Disclosure Date Rank Check Description - ---- --------------- ---- ----- ----------- 0 auxiliary/scanner/rdp/cve_2019_0708_bluekeep 2019-05-14 normal Yes CVE-2019-0708 BlueKeep Microsoft Remote Desktop RCE Check msf5 > use auxiliary/scanner/rdp/cve_2019_0708_bluekeep msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > show options Module options (auxiliary/scanner/rdp/cve_2019_0708_bluekeep): Name Current Setting Required Description ---- --------------- -------- ----------- RDP_CLIENT_IP 192.168.0.100 yes The client IPv4 address to report during connect RDP_CLIENT_NAME rdesktop no The client computer name to report during connect, UNSET = random RDP_DOMAIN no The client domain name to report during connect RDP_USER no The username to report during connect, UNSET = random RHOSTS yes The target address range or CIDR identifier RPORT 3389 yes The target port (TCP) THREADS 1 yes The number of concurrent threads Auxiliary action: Name Description ---- ----------- Scan Scan for exploitable targets msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set rhosts 192.168.1.82 rhosts => 192.168.1.82 msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > run [*] 192.168.1.82:3389 - The target service is running, but could not be validated. [*] 192.168.1.82:3389 - Scanned 1 of 1 hosts (100% complete) [*] Auxiliary module execution completed msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > set rhosts 192.168.1.248 rhosts => 192.168.1.248 msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) > run [+] 192.168.1.248:3389 - The target is vulnerable. [*] 192.168.1.248:3389 - Scanned 1 of 1 hosts (100% complete) [*] Auxiliary module execution completed msf5 auxiliary(scanner/rdp/cve_2019_0708_bluekeep) >