ช่องโหว่ Bluekeep บน Windows all version หากเปิด RDP public เอาไว้แล้วตายแน่!

Review ช่องโหว่ Bluekeep CVE-2019–1182 , CVE-2019–0708

สำหรับ ช่องโหว่นี้ ถ้าเปิด RDP (remote desktop) port 3389 ทิ้งเอาไว้เพียงยิง exploit เข้าช่องโหว่นี้ก็สามารถ execute command ต่างๆได้โดยไม่ต้องมี username/password ซึ่งมีตัวอย่างจาก tencent security LAB สามารถลอง execute command เพื่อรันโปรแกรมเครื่องคิดเลขขึ้นมาได้ผ่านทางช่องโหว่นี้

สำหรับช่องโหว่ CVE-2019–0708 ที่กระทบ Windows 7 , Windows XP , Windows 2003 , 2008 , 2008R2 ซึ่งบาง Windows version ต้อง update service pack2 ,3 ก่อนถึงจะทำการ update security patch ตัวนี้ได้

สำหรับโปรแกรม scan หาว่ามีเครื่องใดที่ยังไม่ได้รับการ patch สามารถใช้โปรแกรม rdpscan ได้มีทั้งสามารถรันได้บน linux , windows

สั่งผ่าน command : rdpscan x.x.x.x/24 (scan ทั้ง Class C)

https://vulners.com/kitploit/KITPLOIT:998955151150716619

Link สำหรับการ Patch windows

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

สำหรับช่องโหว่ CVE-2019–1182 จะกระทบ Windows 10 , Windows 7 , 9.1 , Windows 2008R2 , Windows 2012 , Windows 2012R2 , Windows 2016, Windows 2019

สามารถ download patch ได้ใน link นี้ / ปัจจุบันยังหาโปรแกรม scan ของ patch ตัวนี้ไม่ได้ให้ manual check เองผ่าน command systeminfo เพื่อไล่ดูว่ามีการ patch หรือยังในหมวด Hotfix(s) Installed.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182