如何分析蓝屏是否因为CVE-2019-0708攻击

5月份微软发布了基于远程桌面的漏洞，这几天相关的exp也已经更新了，考虑到这个漏洞涉及

【XP到WIN7】【SERVER2003 到 SERVER2008R2】,

CVE-2019-0708蓝屏界面

大家应该都没有来得及打这个补丁，现在出现蓝屏了，因为cve-2019-0708这类是溢出类攻击，所以跟ms17-010、ms12-020一样，有一定的几率把机器打蓝屏，这里以蓝屏文件为例作为分析。

添加符号表

【set_NT_SYMBOL_PATH=srv*DownstreamStore*https://msdl.microsoft.com/download/symbols】

打开蓝屏文件，windows默认在

C:\Windows\MEMORY.DMP

打开蓝屏日志，输入

!analyze -v

打开蓝屏日志

选择yes

输入命令

蓝屏原因

接着我们查找termdd.sys

什么是termdd

我们查到了这是微软的rdp原因导致的，可以判断出是rdp协议漏洞导致，这时我们需要检查是否安装了ms12-020、CVE-2019-0708等漏洞，这些都是会导致蓝屏的

好了，本次分享到此结束，请关注我，及时分享运维安全技术知识，谢谢大家。