Windows远程代码执行漏洞(CVE-2019-0708)预警及修复!

青云

1、概述

        2019年5月14日微软官方发布了对远程桌面服务（Remote Desktop Services）的关键远程代码执行漏洞CVE-2019-0708的安全补丁，受影响的Windows系统版本在启用了远程桌面服务时容易遭受远程代码执行攻击。该漏洞不需要用户交互，即该漏洞可以被利用发起蠕虫类攻击，类似WannaCry（魔窟）勒索蠕虫事件。虽然目前没有发现对该漏洞的利用，但之后攻击者很可能将该漏洞利用加入到恶意代码中，就像MS17-010（永恒之蓝）漏洞一样，微软在2017年3月14日发布MS17-010漏洞补丁，2017年5月12日WannaCry（魔窟）利用永恒之蓝漏洞进行传播。

        根据相关数据源统计，目前，全球公共网络中有近300多万计算机开启了3389端口，即未改变端口的远程桌面服务（RDP），对于没有经过配置加固的内网更有大量机器开放相关端口服务。因此，该漏洞既可能造成互联网大面积的蠕虫传播、僵尸网络大面积感染，也能形成内网大面积横向移动攻击能力。

2、漏洞描述

        漏洞编号：CVE-2019-0708

        该漏洞允许未经身份验证的攻击者使用远程桌面服务连接到目标系统并发送精心设计过的请求，利用其身份预认证、不需要用户交互确认同意接收连接的缺陷，即可在目标系统上执行任意代码，涵盖但不限于安装程序，查看、更改或删除目标系统内数据，或创建具有完全用户权限的新账户。

        利用此漏洞需要满足以下条件：

        1. 在Windows操作系统启用了Remote Desktop Services远程桌面服务，且未及时安装更新补丁；

        2.攻击者通过RDP向目标系统远程桌面服务发送精心设计的请求。

3、受影响范围

        受影响的Windows操作系统版本：

        Windows XP SP3 x86

        Windows XP 专业 x64 版 SP2

        Windows XP Embedded SP3 x86

        Windows 7 for 32-bit Systems Service Pack 1

        Windows 7 for x64-based Systems Service Pack 1

        Windows Server 2003 SP2 x86

        Windows Server 2003 x64 版本 SP2

        Windows Server 2008 for 32-bit Systems Service Pack 2

        Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

        Windows Server 2008 for Itanium-Based Systems Service Pack 2

        Windows Server 2008 for x64-based Systems Service Pack 2

        Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

        Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

        Windows Server 2008 R2 for x64-based Systems Service Pack 1

        Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

        Windows Embedded POSReady 2009

        Windows Embedded Standard 2009

4、修复及缓解建议

        1、尽快安装此漏洞的补丁（即使已经禁用远程桌面服务）[1]。

        2、如果不需要使用远程桌面服务，建议禁用该服务。

        3、在受影响版本的系统上启用网络级身份验证（NLA）；启用NLA后，攻击者需要使用目标系统上的有效账户对远程桌面服务进行身份验证，才能成功利用该漏洞。

        4、 在企业外围或边界防火墙上部署安全策略，阻止TCP端口3389。

        5、 安天智甲终端防御系统与安天资产安全运维系统组合使用，可以充分减少暴露面，形成威胁防御响应的基础框架。

附录一：参考资料

[1]  CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability

        https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

        https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EA

        https://support.microsoft.com/en-us/help/4500331/windows-update-kb4500331

[2]  Acknowledgements: Remote Desktop Services Remote Code Execution Vulnerability(he UK's National Cyber Security Centre (NCSC))

        https://portal.msrc.microsoft.com/en-us/security-guidance/acknowledgments
【漏洞补丁下载地址】

Windows 7 SP1 和 Windows Server 2008 R2 SP1需要先安装微软三月汇总补丁KB4489878，具体详见微软官方说明：https://support.microsoft.com/zh-cn/help/4499164
免责申明：此工具包含的补丁来自微软，安装补丁可能会引起系统蓝屏、无法上网等故障，请在安装补丁前做好系统备份。

[td]

系统版本	补丁号及下载链接	安装补丁的先决条件	备注
Windows XP	KB4500331 x86	Service Pack 3；没有打过SP的版本，需要先升级到SP2，才能升级到SP3	x86 SP2 x86 SP3
Windows XP SP3 for XPe	KB4500331 x86	暂未验证	当前系统不支持工具自动升级，请从左侧下载补丁手动安装。
Windows XP Embedded（WES09 and POSReady 2009）	KB4500331 x86	暂未验证	当前系统不支持工具自动升级，请从左侧下载补丁手动安装。
Windows Server 2003	KB4500331 x86 x64	Service Pack 2	x86 SP2
Windows 7	KB4499175 x86 x64	Service Pack 1 + KB4489878	x86 SP1 x86 KB4489878 x64 SP1 x64 KB4489878
Windows Embedded Standard 7	KB4499175 x86 x64	KB4489878	当前系统不支持工具自动升级，请手动下载补丁安装。 x86 KB4489878 x64 KB4489878
Windows Server 2008	KB4499180 x86 x64 IA64	Service Pack 2；没有打过SP的版本需要先升级到SP1，才能升级到SP2	x86 SP1 x86 SP2 x64 SP2
Windows Server 2008 R2	KB4499175 x64 IA64	Service Pack 1 + KB4489878	x64 SP1 x64 KB4489878 IA64 KB4489878