CVE_2019_0708 BlueKeep 취약점 POC (RDP)

1. 취약점 정보

2019년 5월, Microsoft 측에서는 Windows OS에서 제공하는 RDP(Remote Desktop Protocol) 기능에서의 새로운 보안 취약점 발견되었다. 보안 업체 Errata Security에 따르면 약 95 만대의 Windows 시스템이 취약점에 노출되어 있다 한다.

 

해당 취약점은 MS_T120 채널 요청의 메모리 할당/해제에 대한 적절한 처리를 하지 않아 발생

이로 인해 인증되지 않은 공격자는 RDP(Remote Desktop Protocol)를 사용하여 대상 시스템에 연결하고

조작 된 요청을 전송하여 UAF 취약점을 활용한 원격 코드 실행이 가능하다.

 

2. 취약점 확인

아래의 명령을 통해 취약점 영향 여부를 확인할 수 있다.

Windows XP/7, Windows Server 2003/2008 일 경우, 해당 취약점에 영향을 받는다.

 위 사진은 희생자 PC

위 사진은 POC 코드 실행 시 impacket 모듈이 존재 하지 않아 발생

 

위와 같이 pip 명령어를 통해 impacket 설치

준비 완료 후 희생자 PC를 향해 공격 수행

위와 같이 희생자 PC는 블루 스크린이 발생해서 다운된다.