microsoft,windows远程桌面协议中间人攻击漏洞

云计算中虚拟机的安全评估Aleksandar Donevski, Sasko Ristov and Marjan GusevSs. Cyril and Methodius University,Faculty of Information Sciences and Computer Engineering,Skopje, MacedoniaEmail: aleksandar.donevski@, sashko.ristov@im.mk,marjan.gushev@im.mk摘要——一个公司的安全边界是如果虚拟机迁移到云的前提下受损。

尽管云服务提供商（CSP）迁移的虚拟机提供了一定的保障水平，主要是从外部云，但是云服务消费者现在正受到新兴的挑战，由于多租户模式，即受到其他合租托管的虚拟机主机的威胁。

CSP也面临着云租户的威胁。

CSP和租户都可能因云的脆弱性而受到拖累。

这篇论文中我们分析由其他租户和外部云造成的虚拟机安全威胁。

同时，我们比较最常见的开源云提供给特定虚拟机的安全水平。

虚拟机的安全评估在不同的操作系统上实现。

关键词：云计算，OpenStack云，安全评估，虚拟化。

1.介绍云计算市场持续增长，为客户提供各式各样的功能。

例如，客户可以将他们的数据、虚拟机或备份数据外包给存储空间无限大的云。

无论他们使用的是什么类型的云和调度模型，云服务提供商必须保证访问控制权和确保删除。

一种可能的解决方法就是将安全作为一种服务来实现和维持对云的保护，从而满足客户提出的安全水平。

云中的虚拟机实例应当不仅能防御外部的攻击，同时也要抵抗合租的租户，无论他们是来自相同的云中的物理机还是不同的云。

除了传统的性能/成本效益的资源消耗，电信运营商也应该包括在虚拟机配置由客户指定的安全要求。

选择一个私有云提供了一种可能性来控制系统的安全性，但它缺乏可扩展性和弹性特征。

从一方面来说，公共云的使用提供了高扩展性和弹性，但从另一个方面是受安全由于大部分的控制已经转移到CSP。

微软Windows操作系统漏洞案例分析在计算机领域中，操作系统是一种核心软件，它控制并管理计算机系统的硬件和软件资源。

然而，即使由全球领先的技术公司微软开发和维护的Windows操作系统也并非完美无缺，经常会被发现存在各种漏洞。

本文将对一些微软Windows操作系统漏洞案例进行深入分析，探讨造成这些漏洞的原因以及微软的应对措施。

漏洞一：Conficker蠕虫病毒漏洞Conficker蠕虫病毒是在2008年发现的一种针对Windows操作系统的网络蠕虫。

它利用了Windows操作系统中的漏洞进行传播，迅速感染了全球数百万台计算机。

这个漏洞的严重性在于它可以突破用户密码，获取管理员权限，并以此控制被感染计算机上的操作。

造成Conficker蠕虫病毒漏洞的原因主要有两点。

一是微软在发布Windows操作系统时未能及时识别和修复相关漏洞，导致黑客利用了这些弱点进行攻击。

二是一些用户忽视了操作系统的安全更新以及安装有效的防病毒软件等措施，为黑客入侵提供了可乘之机。

微软针对Conficker蠕虫病毒漏洞采取了多种措施进行应对。

首先，他们修复了Windows操作系统中被利用的漏洞，并提供了相应的安全更新，用户可以通过自动更新系统来获得这些修补程序。

其次，微软还加强了对恶意软件的检测和清除能力，以便用户及时发现和清除被感染的计算机。

此外，微软还积极与政府、反病毒厂商和互联网服务提供商等各方合作，共同打击Conficker蠕虫病毒的传播。

漏洞二：永恒之蓝（EternalBlue）漏洞永恒之蓝是一种利用微软Windows操作系统远程执行代码的漏洞，该漏洞于2017年被曝光。

该漏洞的严重性在于黑客可以利用它在计算机网络间迅速传播恶意软件，从而导致整个网络受到破坏。

造成永恒之蓝漏洞的原因是微软的某些操作系统版本没有及时修复相关的安全漏洞，使黑客有机可乘。

此外，该漏洞的爆发也提醒了用户重视操作系统的安全性，及时更新系统和安装补丁程序等。

WindowsCVE-2019-0708远程桌⾯代码执⾏漏洞复现Windows CVE-2019-0708 远程桌⾯代码执⾏漏洞复现⼀、漏洞说明2019年5⽉15⽇微软发布安全补丁修复了CVE编号为CVE-2019-0708的Windows远程桌⾯服务（RDP）远程代码执⾏漏洞,该漏洞在不需⾝份认证的情况下即可远程触发,危害与影响⾯极⼤。

⽬前,9⽉7⽇EXP代码已被公开发布⾄metasploit-framework的Pull requests中,经测试已经可以远程代码执⾏。

⼆、漏洞影响版本Windows 7 for 32-bit Systems Service Pack 1Windows 7 for x64-based Systems Service Pack 1Windows Server 2008 for 32-bit Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server 2008 for Itanium-Based Systems Service Pack 2Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows XP SP3 x86Windows XP Professional x64 Edition SP2Windows XP Embedded SP3 x86Windows Server 2003 SP2 x86Windows Server 2003 x64 Edition SP2注:Windows 8和windows10以及之后的版本不受此漏洞影响三、漏洞环境搭建攻击机:kali 2018.2靶机:win7 sp1 7061四、漏洞复现1、更新msfapt-get updateapt-get install metasploit-framework2、下载攻击套件wget https:///rapid7/metasploit-framework/edb7e20221e2088497d1f61132db3a56f81b8ce9/lib/msf/core/exploit/rdp.rbwget https:///rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/rdp_scanner.rbwget https:///rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rb wget https:///rapid7/metasploit-framework/raw/edb7e20221e2088497d1f61132db3a56f81b8ce9/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb 3、替换msf中相应的⽂件　cve_2019_0708_bluekeep_rce.rb 添加 /usr/share/metasploit-framework/modules/exploits/windows/rdp/cve_2019_0708_bluekeep_rce.rbrdp.rb 替换 /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rbrdp_scanner.rb 替换 /usr/share//metasploit-framework/modules/auxiliary/scanner/rdp/rdp_scanner.rbcve_2019_0708_bluekeep.rb 替换 /usr/share/metasploit-framework/modules/auxiliary/scanner/rdp/cve_2019_0708_bluekeep.rb4、启动msf,加载⽂件5、搜索0708,可以看到⽂件成功加载6、利⽤漏洞,设置rhosts、target、payload7、开始执⾏exp,成功获得shell五、漏洞防御注: CVE-2019-0708热补丁⼯具”是针对“Windows远程桌⾯服务的远程代码执⾏漏洞CVE-2019-0708”推出的热补丁修复⼯具，可以针对不能直接打补丁环境，提供的临时解决漏洞问题的⽅案。

Windows远程桌面服务存在高危漏洞8月教育网运行正常，未发现影响严重的安全事件。

近期教育网范围内相应的安全投诉事件数量继续呈下降趋势，这主要得益于各学校对安全工作的高度重视。

近期没有新增特别需要关注的病毒和木马程序。

针对5月爆出的Pulse Secure VPN的任意文件读取漏洞（CVE-2019-11539）的扫描攻击数量有增加趋势，攻击者可以利用该漏洞访问系统的私钥和用户口令，这些非法获取的信息可以进一步导致任意代码注入攻击。

Pulse Secure VPN在高校的用户数量较多，建议使用了该VPN的学校管理员尽快检查是否已经更新到了最新版本，避免漏洞被非法利用。

近期新增严重漏洞评述微软8月的例行安全公告修复了其多款产品存在的396个安全漏洞。

漏洞涉及Windows系统、Windows DHCP服务、Office软件、Windows图形组件、Jet 数据库等Windows平台下的应用软件和组件。

公告中需要特别关注的是Windows远程桌面服务中存在的四个高危漏洞（CVE-2019-1181、CVE-2019-1182、CVE-2019-1222、CVE-2019-1226）。

未经身份验证的攻击者利用上述漏洞，向目标Windows主机发送恶意构造请求，可以在目标系统上执行任意代码。

由于这些漏洞存在于RDP协议的预身份验证阶段，其利用过程无需进行用户交互操作，可被利用来进行大规模的蠕虫攻击。

目前漏洞的细节还未公布，相应的利用代码也还未出现，不过随着补丁的发布（通过对补丁的反编译可知道漏洞细节），漏洞的攻击代码很快就会出现。

类似的远程桌面漏洞（CVE-2019-0708）在5月的补丁中也出现过，目前该漏洞相关的攻击代码已经在网络上出现了多个版本。

基于上述漏洞的风险，建议用户尽快使用Windows系统的自动更新功能进行安全更新。

图源：网络最近Fortinet公司发布了FortiOS的版本更新，用于修补之前版本中存在的多个安全漏洞。

此安全更新可解决远程桌面协议中两个秘密报告的漏洞。

如果攻击者向受影响的系统发送一系列特制 RDP 数据包，则这些漏洞中较严重的漏洞可能允许远程执行代码。

默认情况下，任何 Windows 操作系统都未启用远程桌面协议 (RDP)。

没有启用 RDP 的系统不受威胁。

对于 Microsoft Windows 所有受支持的版本，此安全更新的等级为严重。

有关详细信息，请参阅本节中受影响和不受影响的软件小节。

该安全更新通过修改远程桌面协议处理内存中数据包的方式以及 RDP 服务处理数据包的方式来解决漏洞。

有关这些漏洞的详细信息，请参阅下一节漏洞信息下面特定漏洞条目的常见问题 (FAQ)小节。

建议。

大多数客户均启用了自动更新，他们不必采取任何操作，因为此安全更新将自动下载并安装。

尚未启用自动更新的客户必须检查更新，并手动安装此更新。

有关自动更新中特定配置选项的信息，请参阅 Microsoft 知识库文章 294871。

对于管理员、企业安装或者想要手动安装此安全更新的最终用户，Microsoft 建议客户使用更新管理软件立即应用此更新或者利用 Microsoft Update 服务检查更新。

RDP远程桌面安全远程桌面协议（RDP）是一种用于Windows操作系统的远程访问解决方案，它可以让用户从任何地方通过互联网连接和控制远程计算机。

然而，考虑到安全因素，我们需要深入了解RDP远程桌面的安全性，并采取措施以保护我们的系统和数据。

一、RDP安全威胁RDP远程桌面在提供便利的同时，也带来了一些潜在的安全威胁。

以下是一些常见的RDP安全问题：1. 密码猜测攻击：攻击者可能会使用弱密码列表或暴力破解工具来尝试猜测RDP登录密码，从而获取未经授权的访问权限。

2. 恶意软件：通过RDP协议，恶意软件可以传播到远程计算机，并在远程计算机上执行恶意操作，比如植入后门程序、窃取敏感信息等。

3. 端口暴露：默认情况下，RDP使用3389端口进行通信，攻击者可以扫描常用端口并找到RDP服务，进而发动攻击。

4. 未及时更新：如果未及时安装补丁和更新程序，远程桌面软件可能存在漏洞，被黑客利用进行攻击。

二、加强RDP远程桌面安全的措施为了保护远程桌面的安全性，我们可以采取以下措施：1. 使用强密码和多因素身份验证：确保RDP登录密码足够强大，并启用多因素身份验证，如指纹识别、智能卡等。

2. 限制登录尝试次数：限制登录尝试的次数，可以有效防止密码猜测攻击。

在一定次数的登录失败后，账户自动锁定或禁用。

3. 使用网络防火墙：配置防火墙规则，只允许来自特定IP地址或网络的RDP连接。

这样可以减少暴露在公共网络中的风险。

4. 定期更新操作系统和远程桌面软件：及时安装操作系统和远程桌面软件的补丁和更新，修复已知漏洞，提高系统的安全性。

5. 日志监控和审计：通过开启日志记录并进行监控和审计，可以及时发现异常登录行为，以及其他异常活动，及时采取应对措施。

6. 使用虚拟专用网络（VPN）：在使用RDP之前，建议先建立一个通过VPN连接到局域网的安全通道，增加数据传输的隐私和安全性。

7. 禁用未使用的功能：禁用系统中未使用的RDP功能，减少攻击面。

Windows远程桌⾯爆出CredSSP漏洞
Windows平台最新发现的Credential Security Support Provider protocol （CredSSP）漏洞，可以让⿊客利⽤远程桌⾯协议（RDP）和Windows远程管理器（WinRM）远程盗窃数据或运⾏恶意代码。

CredSSP协议最初是为了在Windows主机使⽤RDP或WinRM进⾏远程连接时提供加密认证。

这个漏洞（CVE-2018-0886）是由⼀家名为Preempt Security的⽹络安全公司的研究⼈员发现，在CredSSP协议中存在⼀个逻辑加密漏洞，⿊客可以通过⽆线连接，利⽤该漏洞发起中间⼈攻击；如果能物理连⼊⽹络，还可以发起远程调⽤攻击（Remote Procedure Call），盗取计算机进程中的认证信息。

当主机或服务器使⽤Windows⾃带的RDP或WinRM协议进⾏远程连接，⿊客的中间⼈攻击就可以远程执⾏恶意代码。

⼀旦⿊客获取了连接进程中的计算机账号登录认证信息，就拥有了管理员权限可以远程执⾏代码，由于Windows域控制器服务器默认状态下开启远程调⽤服务
（DCE/RPC），因此这个漏洞对于企业的域控制器⽽⾔⾮常致命。

⽽⼤多数企业的内部⽹络都会使⽤Windows RDP协议进⾏远程登录。

Preempt的研究⼈员去年8⽉向微软报告了这个漏洞，但直到本周⼆的补丁⽇，微软才发布了该漏洞的补丁。

如果⽤户的服务器是Windows操作系统，请尽快更新系统；平时尽量不要使⽤RDP和
DCE/RPC端⼝；远程登录时尽量不要使⽤管理员帐号。

CVE-2012-0002Windows远程桌⾯协议RDP远程代码执⾏漏洞——MS12_0。

CVE-2012-0002 Windows远程桌⾯协议RDP远程代码执⾏漏洞——MS12_020死亡蓝屏如果你问我，学习MSF最好的案例是什么，我肯定不假思索说出两个，MS12_020，MS17_010，这两个漏洞在如今的MSF6中，已经⼗分成熟化，攻击效果显著，能够极⼤提升初学者的成就感。

漏洞简介MS12-020为windows下2012年爆出⾼危安全漏洞，该漏洞是因为Windows系统的远程桌⾯协议（RDP， Remote Desktop Protocol）存在缓存溢出漏洞，攻击者可通过向⽬标操作系统发送特定内容的RDP包造成操作系统蓝屏，利⽤起来操作简单，危害极⼤，影响范围极⼴。

漏洞条件1、靶机具有MS12_020漏洞，windows2003、windows20082、靶机开启3389端⼝我这⾥是Windows2008，必须是“允许运⾏任意版本远程桌⾯的计算机连接”，否则⽆法执⾏成功漏洞复现1、搜索MS12_020漏洞，0号代表的是检测，1号代表的是攻击模块。

这⾥选择1号2、配置MSF参数3、MSF执⾏攻击命令，对⽅直接蓝屏，攻击成功漏洞修复2、3389不要开启任意⽤户连接，⼀定要选择⾝份验证的连接。

这样MSF就⽆法攻击了，可以看到下⽅，⼀直没有成功3、更绝对的防御，关闭3389，不过不太推荐这么去做，第⼆点就可以了关于3389端⼝的攻击总结1、弱⼝令暴⼒破解hydra（注意：在爆破巴西的服务器的时候，⽤户名是administrador⽽不是administrator）2、MS12_0203、通过3389传输⽂件例如传输远控从⽽上线。

Windows远程桌面服务漏洞预警（CVE-2019-0708）修复步骤说明重要提示：该漏洞影响旧版本的Windows系统，包括：Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP。

备注：Windows 8和Windows 10及之后版本不受此漏洞影响，勿须担心这个问题。

前期准备工作：在对终端和服务器进行补丁修复之前，需要对重要资料进行备份。

回退措施：终端和服务器进行补丁修复后，均需要重启机器。

如遇无法重启，需要进入安全模式，将补丁卸载。

漏洞修复方案11、打开企业微信消息中心推送的链接：2、下载好之后打开文件夹，如下图所示：3、打开程序如下所示：（图中为win7操作系统）点击立即修复，如下图所示：4、点击修复按钮后，以下为修复过程，如下图所示：备注：弹出对话框后，点击“是”5、开始安装更新，保持电脑开机，如下图所示：6、更新安装完成之后，请点击“立即重新启动”，如下图所示：7、电脑重新启动后，重复步骤2操作，打开文件夹内：RDPScan.exe程序，重新进行检测，如下图所示：该漏洞补丁已经成功修复；1.腾讯安全专家（自行下载电脑管家）建议用户使用Windows Update或使用腾讯电脑管家、腾讯御点终端安全管理系统的漏洞修复功能完成补丁安装。

使用腾讯电脑管家修复CVE-2019-0708安全漏洞2、使用腾讯御点终端管理系统修复CVE-2019-0708安全漏洞(需自行下载）1、打开360安全卫士，如下图所示：2、点击左上角“向上按钮”，若非新版本，请升级至新版本，如下图所示：3、正在升级为最新版本，勿操作，如下图所示：4、点击上方“系统修复”按钮，并进行修复，下图为修复后的结果，证明该电脑已成功更新且安装补丁。

Windows系统的远程桌面协议与安全性远程桌面协议（Remote Desktop Protocol，简称RDP）是Windows操作系统中的一种协议，允许用户通过网络连接远程访问和控制另一台计算机。

该协议在实现远程桌面功能的同时，也引发了一些安全性的关注和挑战。

本文将探讨Windows系统的远程桌面协议及其相关的安全性问题。

一、远程桌面协议的工作原理Windows系统的远程桌面协议通过建立客户端与服务器之间的连接，实现用户在本地计算机上对远程计算机进行操控的功能。

其工作原理如下：1. 服务器端：远程计算机作为服务器，运行并监听RDP协议的默认端口（3389），等待客户端的连接请求。

2. 客户端：本地计算机上的客户端应用程序负责与远程计算机进行通信，用户通过输入远程计算机的IP地址或域名以及登录凭证进行连接。

3. 连接协商：当客户端成功连接到服务器端后，双方将进行连接协商，协商连接所需的安全层次、加密算法和其他参数。

4. 用户身份验证：在连接建立后，客户端将要求用户提供有效的用户名和密码等凭证进行身份验证，以确保远程计算机的安全性。

5. 会话交互：一旦身份验证成功，客户端将展示远程计算机的桌面界面，用户可以在本地计算机上对远程计算机进行操作和控制。

二、远程桌面协议的安全性挑战尽管远程桌面协议提供了便捷的远程访问功能，但在安全性方面也存在一些挑战，我们需要认识并采取相应的保护措施，以防止潜在的安全风险。

1. 弱密码和暴力破解：如果用户设置弱密码或未启用账户锁定功能，攻击者可以使用暴力破解技术对密码进行多次尝试，从而猜解正确密码并获得远程访问权限。

2. 网络嗅探和重放攻击：在网络传输过程中，未经加密的远程桌面会话数据可以被网络嗅探工具捕获并篡改，黑客可以利用重放攻击手段伪造合法用户进行远程访问。

3. 操作系统漏洞：远程桌面协议的安全性也依赖于操作系统的安全性。

如果操作系统存在漏洞，黑客可以利用这些漏洞进行恶意代码注入，导致远程计算机被远程接管。

系统安全加固方案文档说明1. Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)【原理扫描】4.1漏洞清单3/104.2加固方案1、安装此补丁WindowsServer2003-KB2621440-x86-CHS.exe即可解决安全此安全漏洞问题。

4.3回退方案在控制面板-添加/删除程序中卸载该补丁即可4.4加固结果已经加固4/102. Microsoft远程桌面协议RDP远程代码可执行漏洞(CVE-2012-0002)(MS12-020)【原理扫描】漏洞1.1漏洞清单5/101.2加固方案Windows2008和windows2003分别安装此补丁WindowsServer2003-KB2621440-x86-CHS.exe和Windows6.1-KB2621440-x64.msu 即可解决安全此安全漏洞问题。

1.3回退方案在控制面板-添加/删除程序中卸载该补丁即可1.4加固结果已经加固3. Mongodb未授权访问漏洞【原理扫描】2.1漏洞清单6/107/102.2加固方案在ers中添加用户，启动认证。

#在admin 数据库中创建用户！xjyd 密码为xjyd!!20161、[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27017MongoDB shell version: 2.0.1connecting to: 127.0.0.1:27017/test> use adminswitched to db admin>> db.addUser("supper", "sup"){ "n" : 0, "connectionId" : 4, "err" : null, "ok" : 1 }{"user" : "supper","readOnly" : false,"pwd" : "51a481f72b8b8218df9fee50b3737c44","_id" : ObjectId("4f2bc0d357a309043c6947a4") }> db.auth("supper","sup")18/10> exitbye2、在ers中添加用户，启动认证。

Server2012R2安装MicrosoftWindowsCredSSP远程执⾏代码漏洞补丁Microsoft Windows CredSSP 远程执⾏代码漏洞(CVE-2018-0886)
详细描述
凭据安全⽀持提供程序协议 (CredSSP) 中存在远程执⾏代码漏洞。

成功利⽤此漏洞的攻击者可以在⽬标系统上中继⽤户凭据并使⽤其执⾏代码。

CredSSP 是为其他应⽤程序处理⾝份验证请求的⾝份验证提供程序；任何依赖 CredSSP 进⾏⾝份验证的应⽤程序都可能容易受到此类攻击。

解决办法
Microsoft 补丁链接：
Server 2012 R2 有的版本按照会提⽰此更新不适⽤您的计算机。

经过长时间的查找测试，终于找到⼀个可⾏的⽅法。

前置补丁KB2919442 –> 前置补丁KB2919355-> KB4103715
1、⾸先安装完成后KB2919442，需重启
2、接下来安装KB2919355，需重启
3、最后才能安装KB4103715，需重启。

远程桌面协议中间人攻击漏洞解决方案Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)解决方案1.系统版本：windows server 20032.漏洞：CVE-2005-17943.修复方案：漏洞介绍:Microsoft Windows远程桌面协议用于连接Windows 终端服务。

Windows远程桌面协议客户端没有验证会话的服务器公共密钥，远程攻击者可以利用这个漏洞通过Man-in-Middle攻击方式以明文方式读取通信的所有信息。

由于客户端在连接服务器中，没有对加密钥的合法性进行正确检查，这就使的RDP存在中间人攻击问题，攻击可以按照如下方式进行：1、客户端连接服务器，但是我们通过某种方式(DNS欺骗，ARP 毒药等)使客户端连接到MITM(攻击者中间控制的机器)机器，然后MITM发送给请求到服务器。

2、服务器发送公共密钥和随机salt通过MITM，MITM发送包到客户端，但是使用MITM知道私钥部分的公钥与其进行交换。

3、客户端发送随机salt，以服务器端公钥进行加密发送给MITM。

4、MITM使用自己的私钥解密客户端随机salt，并使用实际服务器端的公钥进行加密发送给服务器。

5、MITM现在知道服务器端和客户端的salt，拥有足够信息构建会话密钥在客户端和服务器端通信。

所有信息以明文方式。

个别用户会在linux下使用一些开源的RDP组件，如果扫出该漏洞，并且3389是RDP服务，则确定存在该漏洞，不会误报。

整改方法：* Windows XP和Windows Server 2003用户使用FIPS（3des）加密；默认情况下，终端服务会话的加密级别设置为“客户端兼容”，以提供客户端支持的最高加密级别。

其他可用设置为：高 - 此设置通过 128 位密钥来提供双向安全性。

低 - 此设置使用 56 位加密。

符合 FIPS 标准 - 使用经过联邦信息处理标准 140-1 验证的方法加密所有数据。

Windows XP提供了⼀个远程管理⼯具的“远程桌⾯”服务，通过它我们就可以在异地对远程计算机进⾏操作。

它使⽤的是RDP 协议，其致命的弱点就是绑定了3389端⼝，因此很容易被扫描⼯具扫描到⽽暴露我们电脑的某些漏洞。

但是对很多需要进⾏远程操作的朋友来说，⼜不能够完全关闭它，那该怎么办呢？
其实，通过改变远程桌⾯使⽤的端⼝号就可以有效地堵住这个漏洞。

新建⼀⽂本⽂件，并输⼊如下内容：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Ctrol\Terminal Server\WinStations\RDP-Tcp]
“PortNumber”=dword：00001b62
将该⽂件另存为REG⽂件并双击导⼊到系统注册表中，重新启动计算机即可。

以上代码中的“00001b62”是修改后的端⼝号“7010”对应的16进制表⽰，可根据实际情况进⾏更改。

WindowsRDP的RCE漏洞分析和复现（CVE-2019-0708）0x00 漏洞描述Windows系列服务器于2019年5⽉15号，被爆出⾼危漏洞，该漏洞影响范围较⼴如：windows2003、windows2008、windows2008 R2、windows xp系统都会遭到攻击，该服务器漏洞利⽤⽅式是通过远程桌⾯端⼝3389，RDP协议进⾏攻击的。

这个漏洞是今年来说危害严重性最⼤的漏洞，跟之前的勒索，永恒之蓝病毒差不多。

CVE-2019-0708漏洞是通过检查⽤户的⾝份认证，导致可以绕过认证，不⽤任何的交互，直接通过rdp协议进⾏连接发送恶意代码执⾏命令到服务器中去。

如果被攻击者利⽤，会导致服务器⼊侵，中病毒，像WannaCry 永恒之蓝漏洞⼀样⼤规模的感染。

2019年9⽉7⽇晚上凌晨1点左右，metaspolit更新了漏洞利⽤程序在2019年5⽉，微软发布了针对远程代码执⾏漏洞CVE-2019-0708的补丁更新，该漏洞也称为“BlueKeep”，漏洞存在于远程桌⾯服务（RDS）的代码中。

此漏洞是预⾝份验证，⽆需⽤户交互，因此具有潜在武器化蠕⾍性性漏洞利⽤的危险。

如果成功利⽤此漏洞，则可以使⽤“系统”权限执⾏任意代码。

Microsoft安全响应中⼼的建议表明这个漏洞也可能会成为⼀种蠕⾍攻击⾏为，类似于Wannacry和EsteemAudit等攻击⾏为。

由于此漏洞的严重性及其对⽤户的潜在影响，微软采取了罕见的预警步骤，为不再受⽀持的Windows XP操作系统发布补丁，以保护Windows⽤户。

0x01 漏洞影响该漏洞影响旧版本的Windows系统，包括：Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP。

Windows 8和Windows 10及之后版本不受此漏洞影响。

0x02 cve_2019_0708_bluekeep_rce.rb 介绍此PR为CVE-2019-0708（⼜名BlueKeep）添加了⼀个漏洞利⽤模块，该模块通过RDP利⽤远程Windows内核释放后使⽤漏洞。

01-Smb远程代码执行漏洞(永恒之蓝)(MS17-010)修复方案漏洞概述SMB (Server Message Block) 是一种用于文件、打印机和相关服务的网络协议。

SMB远程代码执行漏洞，也被称为永恒之蓝(ETERNALBLUE)，是一种在Windows 操作系统上的漏洞，可让攻击者利用此漏洞远程执行恶意代码，无需用户交互。

该漏洞让攻击者能够远程勾画蓝屏崩溃、恶意软件传播、网络蠕虫攻击等活动。

漏洞修复方案Microsoft 在2017年发布了修复该漏洞的安全补丁。

以下是修复该漏洞的建议步骤：步骤一：安装最新的安全补丁•访问Microsoft官方网站，下载适用于Windows操作系统的最新安全补丁。

确保下载的补丁版本适用于您的操作系统和架构。

•双击下载的补丁文件，按照向导程序的步骤完成安装过程。

重启系统以完成安装。

步骤二：启用Windows自动更新•打开“Windows更新”设置，此设置通常位于“控制面板”或“设置”应用程序中。

•点击“检查更新”按钮，Windows将自动检查并下载可用的更新。

•在安装更新之前，您可以选择安装哪些更新。

确保选择了安全性补丁的安装。

步骤三：禁用SMB版本1推荐禁用SMB版本1，因为它在漏洞利用中常被攻击者滥用。

可以通过以下步骤禁用SMB版本1：1.打开“控制面板”，找到并打开“程序和功能”。

2.在左侧导航栏中选择“启用或关闭Windows功能”。

3.在“Windows功能”窗口中，找到“SMB 1.0/CIFS 文件共享支持”选项。

4.取消选中该选项，然后点击“确定”按钮。

5.随后系统将会提示您重启计算机以应用更改。

步骤四：使用防火墙规则限制SMB访问配置防火墙规则以限制SMB访问可以进一步加强系统的安全性。

您可以根据实际情况，配置适合您环境的防火墙规则。

以下是一般建议的SMB访问限制策略：1.只允许受信任的计算机使用SMB服务。

将防火墙规则配置为仅允许受信任的计算机的IP地址访问SMB端口，默认情况下SMB协议的端口是445。

黑客MS08-067漏洞攻击全程演示（图解）MS08-067漏洞是Server 服务中的漏洞，该漏洞可能允许远程代码执行。

下面我们来进行MS08-067漏洞远程溢出演示，让我们看看我们的机子是如何轻易的成为人家的肉鸡，被控制的1.漏洞主机扫描。

使用专业端口扫描工具扫描445端口。

获取可溢出的主机列表。

如下图：2.MS08-067溢出工具进行主机溢出，格式ms08-067.exe ip 溢出成功标志：SMB Connect OK!Send Payload Over!3.溢出成功后会开放4444端口，直接telnet登陆上去。

4.Ipconfig确认溢出成功。

5.添加用户确认获取系统权限6.防范办法：针对该溢出，我们并不是没有办法，既然是要扫描445端口，然后telnet，我们只需如下的方法就可以解决：一、及时安装KB958644补丁二、关闭或屏蔽掉445端口。

三、安装专业防火墙。

《MS08-067》溢出：扫445端口, 溢出Q:提示SMB Connect OK!RpcExceptionCode() = 1722这样溢出成功了么？A:溢出失败，对方开启了防火墙。

Q:提示Make SMB Connection error:1203是怎么回事？A:对方没有开机联网或者没有安装Microsoft 网络的文件和打印机共享协议或没有启动Server服务。

Q:提示SMB Connect OK!Maybe Patched!补丁已经打上了。

不存在漏洞。

SMB Connect OKMaybe Patched!这个说明对方已经打了补丁SMB Connect OK!Send Payload Over!溢出成功----------------------------------------------------在cmd下直接运行MS08-067.exe 出现命令帮助MS08-067.exe <Server>很简单，只需要输入MS08-067.exe IP 就可以了。

10《Microsoft Windows远程桌面协议中间人攻击漏洞》解决方案V1绿盟科技Microsoft Windows远程桌面协议中间人攻击漏洞解决方案注意事项: 修复该漏洞将导致原有的无加密方式的远程桌面链接到服务端无法进行，当服务端配置完成后，客户端也必须进行相应配置加密才能进行远程桌面。

如果不使用远程桌面的主机，可以关闭这个功能来解决.服务端设置:1.开始-运行-输入“SECPOL.MSC”. 选择IP安全策略(IPsec),2.选择安全策略-右击创建IP安全策略3.点击下一步,写入名称-下一步4.勾除默认规则-下一步5.勾选编辑属性-点击完成6.勾除添加向导-点击添加.7.同样勾除添加向导---写个名字-点击添加8.选择源地址为任何IP地址;目标地址为我的IP地址--选择协议选项卡9.选择协议类型:TCP 到此端口3389-点击确定10.再点击确定11.点击筛选器操作-12.点击添加:13.选择协商安全-点击添加-选择完整性和加密14.点击确定16.选择常规选项卡-修改名称-点击确定17选中刚创建的筛选器操作名称18.选择身份认证方法选项卡-点击添加19.选择使用此字符串- 密钥需要服务端和客户端一致-点击确定20.上移预共享密钥策略，点击应用.21.确保之前的策略被选中后点击确定22.勾选3389筛选器，点击确定23.右键策略名。

指派后生效.客户端设置:步骤和上面的基本上一样，除了第8步，设置成如下图所示: 注意事项: 目的地址设置为任何将导致链接未加密远程桌面失败。

可以在目标地址中选择已经加密的单个IP地址或一个网段，有多个IP段或地址可以借鉴上面第7步中多次添加。

黑客针对Windows漏洞CVE-2021-31166发布PoC最近安全研究人员针对修补的Windows漏洞发布了概念验证（PoC），漏洞可能允许远程执行代码，Microsoft将该漏洞描述为可蠕虫化的。

该漏洞编号为CVE-2021-31166，严重等级为严重，Microsoft 在2021年5月星期二补丁日进行了修补。

漏洞影响HTTP协议栈（http.sys），并且利用漏洞不需要身份验证或用户交互。

在大多数情况下，未经身份验证的攻击者针对性服务器可以发送特制的HTTP协议堆栈（HTTP.SYS）处理数据包。

该漏洞仅影响Windows 10和Windows Server的最新版本，但在其通报中，Microsoft将其指定为“更有可能被利用”的等级。

McAfee公司的史蒂夫指出：[HTTP.SYS]是一个只有Windows HTTP可以独立运行，或与IIS（互联网信息服务）相结合，并通过HTTP网络请求用于互联网流量的服务器。

问题是由于Windows在处理包含HTTP请求的网络数据包中的对象时，不正确地跟踪指针。

由于HTTP.SYS是作为内核驱动程序实现的，利用此错误至少会导致蓝屏死机（BSoD），在最坏的情况下，远程执行代码攻击可能很容易蠕虫化攻击。

此漏洞仅影响Windows 10和Windows Server（2004和20H2）的最新版本，意味着面向Internet的企业服务器所受的威胁相当有限，因为其中许多系统都运行长期服务通道（LTSC）版本，例如Windows Server 2016和2019，不受此漏洞的影响。

安全研究员Axel Souchet在周末宣布了针对CVE-2021-31166的PoC。

工业控制安全：工业控制系统风险评估实施指南思维导图（内附下载链接）网络安全等级保护：测评师能力要求思维导图工业控制系统安全：安全检查指南思维导图（内附下载链接）最牛渗透测试工具开发公司Rapid7源代码遭到Codecov供应链攻击微软2021年5月份于周二补丁日针对55个漏洞发布安全补丁网络安全等级保护：怎能不了解测评过程指南（内附高清版思维导图下载链接）工业控制系统安全：工业控制系统安全控制应用指南思维导图工业控制系统安全：工业控制系统面临的安全风险思维导图（内附下载链接）工控系统未来方向与克服IT与OT融合障碍的五种方法员工：是企业信息安全的第一主体小型企业网络安全指南之数据备份小型企业网络安全指南之防恶意软件。