CVE-2019-0708 Windows远程桌面服务漏洞分析与利用教学文档

漏洞概述

CVE-2019-0708（又称"BlueKeep"）是Windows远程桌面服务中的一个严重漏洞，影响Windows 7、Windows Server 2008 R2及更早版本。该漏洞存在于termdd.sys内核驱动中，允许未经身份验证的攻击者远程执行代码，无需用户交互。

漏洞技术分析

漏洞位置

漏洞位于termdd.sys驱动中的IcaBindVirtualChannels函数，具体与虚拟通道绑定机制相关，特别是处理"MS_T120"通道时的逻辑缺陷。

根本原因

漏洞的根本原因是双重释放（Double Free）和释放后使用（Use-After-Free）问题：

攻击者可以创建重复的MS_T120通道
关闭其中一个通道时会导致内存释放
系统仍保留对已释放内存的引用
连接终止时系统尝试再次释放同一内存区域

关键函数分析

IcaBindVirtualChannels：
- 负责绑定RDP虚拟通道
- 漏洞点在于对MS_T120通道的特殊处理逻辑
IcaFindChannelByName：
- 根据通道名称查找通道结构体
- 返回通道结构体指针
IcaCreateChannel：
- 创建新的虚拟通道
- 将通道结构体指针存储在ChannelPointerTable中
IcaCloseChannel：
- 关闭指定通道
- 释放相关资源

漏洞触发过程

1. 虚拟通道绑定机制

正常RDP连接会创建6个默认通道：MS_T120、CTXTW、rdpdr、rdpsnd、cliprdr、drdynvc
MS_T120通道默认存储在ChannelPointerTable的下标0x1F(31)处

2. 漏洞触发步骤

攻击者发送特殊构造的RDP连接请求，包含重复的MS_T120通道
系统创建第二个MS_T120通道，存储在ChannelPointerTable的其他位置（如下标1）
攻击者发送特定数据包（第9字节为\x02）关闭新创建的MS_T120通道
系统释放该通道的内存，但保留了下标0x1F处的指针
连接终止时，系统尝试通过0x1F处的指针再次释放同一内存区域

漏洞利用原理

利用核心思想

释放后使用(UAF)：控制已释放的通道结构体内容
堆喷射(Heap Spraying)：在非分页内存中布置恶意数据
函数指针劫持：替换通道结构体中的函数指针

详细利用步骤

初始阶段：
- 完成RDP握手协议
- 注册MS_T120通道
内存布局：
- 构造内核和用户模式shellcode
- 通过RDPSND通道发送shellcode到服务端内存
- 在非分页内存中布置大量shellcode副本
触发漏洞：
- 释放MS_T120通道（发送特定格式数据包）
- 构造虚假通道结构体替换被释放的结构体
- 将虚假结构体中的函数指针指向shellcode位置
执行控制：
- 关闭连接触发漏洞
- 系统调用已被替换的函数指针
- 执行shellcode获得系统控制权

技术细节

虚拟通道结构体

typedef struct tagCHANNEL_DEF {
    char name[CHANNEL_NAME_LEN + 1];  // 通道名称(最大8字节)
    ULONG options;                    // 通道选项标志
} CHANNEL_DEF, *PCHANNEL_DEF;

关键数据结构

ChannelPointerTable：
- 存储所有虚拟通道的结构体指针
- 正常情况下MS_T120通道位于下标0x1F处
非分页内存特性：
- 从固定地址(Nt!MmNonPagedPoolStart)开始
- 内存利用率低，地址相对可预测
- 适合堆喷射技术

Shellcode构造

内核模式shellcode：
- 负责提升权限和内存操作
- 通常包含内存分配和修改操作
用户模式shellcode：
- 实现最终攻击目标
- 通过APC(异步过程调用)从内核模式触发

防御措施

官方补丁：
- 微软已发布安全更新KB4499175等
- 应尽快安装相关补丁
缓解措施：
- 禁用远程桌面服务
- 启用网络级认证(NLA)
- 防火墙限制3389端口访问
检测方法：
- 监控termdd.sys异常行为
- 检测异常的MS_T120通道操作

研究资源

微软官方公告：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2019-0708
Metasploit模块：https://github.com/rapid7/metasploit-framework/pull/12283
PoC代码参考：https://github.com/RICSecLab/CVE-2019-0708

总结

CVE-2019-0708是一个典型的UAF漏洞，结合了协议解析、内存管理和函数指针劫持等多种技术。理解该漏洞需要对Windows内核、RDP协议和内存管理机制有深入认识。防御此类漏洞需要及时更新系统，并实施深度防御策略。

CVE-2019-0708 Windows远程桌面服务漏洞分析与利用教学文档漏洞概述 CVE-2019-0708（又称"BlueKeep"）是Windows远程桌面服务中的一个严重漏洞，影响Windows 7、Windows Server 2008 R2及更早版本。该漏洞存在于termdd.sys内核驱动中，允许未经身份验证的攻击者远程执行代码，无需用户交互。漏洞技术分析漏洞位置漏洞位于termdd.sys驱动中的 IcaBindVirtualChannels 函数，具体与虚拟通道绑定机制相关，特别是处理"MS_ T120"通道时的逻辑缺陷。根本原因漏洞的根本原因是双重释放（Double Free）和释放后使用（Use-After-Free）问题：攻击者可以创建重复的MS_ T120通道关闭其中一个通道时会导致内存释放系统仍保留对已释放内存的引用连接终止时系统尝试再次释放同一内存区域关键函数分析 IcaBindVirtualChannels ：负责绑定RDP虚拟通道漏洞点在于对MS_ T120通道的特殊处理逻辑 IcaFindChannelByName ：根据通道名称查找通道结构体返回通道结构体指针 IcaCreateChannel ：创建新的虚拟通道将通道结构体指针存储在ChannelPointerTable中 IcaCloseChannel ：关闭指定通道释放相关资源漏洞触发过程 1. 虚拟通道绑定机制正常RDP连接会创建6个默认通道：MS_ T120、CTXTW、rdpdr、rdpsnd、cliprdr、drdynvc MS_ T120通道默认存储在ChannelPointerTable的下标0x1F(31)处 2. 漏洞触发步骤攻击者发送特殊构造的RDP连接请求，包含重复的MS_ T120通道系统创建第二个MS_ T120通道，存储在ChannelPointerTable的其他位置（如下标1）攻击者发送特定数据包（第9字节为\x02）关闭新创建的MS_ T120通道系统释放该通道的内存，但保留了下标0x1F处的指针连接终止时，系统尝试通过0x1F处的指针再次释放同一内存区域漏洞利用原理利用核心思想释放后使用(UAF) ：控制已释放的通道结构体内容堆喷射(Heap Spraying) ：在非分页内存中布置恶意数据函数指针劫持：替换通道结构体中的函数指针详细利用步骤初始阶段：完成RDP握手协议注册MS_ T120通道内存布局：构造内核和用户模式shellcode 通过RDPSND通道发送shellcode到服务端内存在非分页内存中布置大量shellcode副本触发漏洞：释放MS_ T120通道（发送特定格式数据包）构造虚假通道结构体替换被释放的结构体将虚假结构体中的函数指针指向shellcode位置执行控制：关闭连接触发漏洞系统调用已被替换的函数指针执行shellcode获得系统控制权技术细节虚拟通道结构体关键数据结构 ChannelPointerTable ：存储所有虚拟通道的结构体指针正常情况下MS_ T120通道位于下标0x1F处非分页内存特性：从固定地址(Nt !MmNonPagedPoolStart)开始内存利用率低，地址相对可预测适合堆喷射技术 Shellcode构造内核模式shellcode ：负责提升权限和内存操作通常包含内存分配和修改操作用户模式shellcode ：实现最终攻击目标通过APC(异步过程调用)从内核模式触发防御措施官方补丁：微软已发布安全更新KB4499175等应尽快安装相关补丁缓解措施：禁用远程桌面服务启用网络级认证(NLA) 防火墙限制3389端口访问检测方法：监控termdd.sys异常行为检测异常的MS_ T120通道操作研究资源微软官方公告：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2019-0708 Metasploit模块：https://github.com/rapid7/metasploit-framework/pull/12283 PoC代码参考：https://github.com/RICSecLab/CVE-2019-0708 总结 CVE-2019-0708是一个典型的UAF漏洞，结合了协议解析、内存管理和函数指针劫持等多种技术。理解该漏洞需要对Windows内核、RDP协议和内存管理机制有深入认识。防御此类漏洞需要及时更新系统，并实施深度防御策略。