2019年05月15日，微软公布了5月的补丁更新列表，在其中存在一个被标记为严重的RDP（远程桌面服务）远程代码执行漏洞，攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据在目标系统上执行恶意代码，从而获取机器的完全控制。

从补丁分析，到漏洞分析，再到POC发布，然后是EXP视频发布，时间已经过去了2个月+10天。

而本系列也迎来了第4弹。

第一弹：点远程桌面服务远程代码执行漏洞POC打开方式

第二弹：远程桌面服务漏洞分析与检测代码公开，暗网已开始售卖可利用EXP

第三弹：微软再发通告：提醒你更新系统以防蠕虫病毒

因为留给用户打补丁的时间已经不多了。。

自从上周看雪会议中，来自Tecent keenlab的大佬的PPT出现在外网之后。

下载地址：

https://github.com/blackorbird/APT_REPORT/blob/master/exploit_report/%23bluekeep%20RDP%20from%20patch%20to%20remote%20code%20execution.pdf

国外的安全人员忽然开启了披露EXP构造的热浪

而美国公司Immunity，一家专业出售商业化渗透测试套件的公司，终于按耐不住了，祭出大招，公开推特叫卖。

而Canvas 是一个来自Dave Aitel ImmunitySec公司的商业漏洞利用工具。它包括超过370个EXP，它还附带了完整代码，以及一些0day漏洞。

（PS：主要他比Metasploit商业版本还便宜。）

其中演示视频如下。

https://vimeo.com/349688256/aecbf5cac5

可见确实武器化了。。

Immunity的CANVAS BlueKeep模块可以实现远程代码执行 – 即在受感染的主机上打开shell，并执行命令。

虽然CANVAS许可证的成本在数千到数万美元之间，但黑客已经知道如何盗版或合法购买渗透测试工具（例如Cobalt Strike）。

也就意味着，全世界黑客可能都已经盯上了CANVAS，一旦哪位有钱人购买后，导致新版工具泄露，等待给他们的将是一场破解浩劫。

然而，我还是没钱，有钱人可以开始你的表演了。

https://www.immunityinc.com/products/canvas/

在Immunity的BlueKeep利用模块泄漏之前，公司和用户仍有时间修补系统。

众所周知，BlueeKeep会影响Windows XP，Windows Vista，Windows 7，Windows Server 2003和Windows Server 2008。

系统补丁，还有缓解和解决方法 – 请参阅此处。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Windows 10版本不受影响。