请选择 进入手机版 | 继续访问电脑版
 找回密码
 注册

QQ登录

只需一步,快速开始

青云安全服务中心

搜索
查看: 8509|回复: 0

Windows远程代码执行漏洞(CVE-2019-0708)预警及修复!

[复制链接]
发表于 2019-5-21 18:42:07 | 显示全部楼层 |阅读模式
1、概述

        2019年5月14日微软官方发布了对远程桌面服务(Remote Desktop Services)的关键远程代码执行漏洞CVE-2019-0708的安全补丁,受影响的Windows系统版本在启用了远程桌面服务时容易遭受远程代码执行攻击。该漏洞不需要用户交互,即该漏洞可以被利用发起蠕虫类攻击,类似WannaCry(魔窟)勒索蠕虫事件。虽然目前没有发现对该漏洞的利用,但之后攻击者很可能将该漏洞利用加入到恶意代码中,就像MS17-010(永恒之蓝)漏洞一样,微软在2017年3月14日发布MS17-010漏洞补丁,2017年5月12日WannaCry(魔窟)利用永恒之蓝漏洞进行传播。

        根据相关数据源统计,目前,全球公共网络中有近300多万计算机开启了3389端口,即未改变端口的远程桌面服务(RDP),对于没有经过配置加固的内网更有大量机器开放相关端口服务。因此,该漏洞既可能造成互联网大面积的蠕虫传播、僵尸网络大面积感染,也能形成内网大面积横向移动攻击能力。

2、漏洞描述

        漏洞编号:CVE-2019-0708

        该漏洞允许未经身份验证的攻击者使用远程桌面服务连接到目标系统并发送精心设计过的请求,利用其身份预认证、不需要用户交互确认同意接收连接的缺陷,即可在目标系统上执行任意代码,涵盖但不限于安装程序,查看、更改或删除目标系统内数据,或创建具有完全用户权限的新账户。

        利用此漏洞需要满足以下条件:

        1. 在Windows操作系统启用了Remote Desktop Services远程桌面服务,且未及时安装更新补丁;

        2.攻击者通过RDP向目标系统远程桌面服务发送精心设计的请求。

3、受影响范围

        受影响的Windows操作系统版本:

        Windows XP SP3 x86

        Windows XP 专业 x64 版 SP2

        Windows XP Embedded SP3 x86

        Windows 7 for 32-bit Systems Service Pack 1

        Windows 7 for x64-based Systems Service Pack 1

        Windows Server 2003 SP2 x86

        Windows Server 2003 x64 版本 SP2

        Windows Server 2008 for 32-bit Systems Service Pack 2

        Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

        Windows Server 2008 for Itanium-Based Systems Service Pack 2

        Windows Server 2008 for x64-based Systems Service Pack 2

        Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

        Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

        Windows Server 2008 R2 for x64-based Systems Service Pack 1

        Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

        Windows Embedded POSReady 2009

        Windows Embedded Standard 2009

4、修复及缓解建议

        1、尽快安装此漏洞的补丁(即使已经禁用远程桌面服务)[1]。

        2、如果不需要使用远程桌面服务,建议禁用该服务。

        3、在受影响版本的系统上启用网络级身份验证(NLA);启用NLA后,攻击者需要使用目标系统上的有效账户对远程桌面服务进行身份验证,才能成功利用该漏洞。

        4、 在企业外围或边界防火墙上部署安全策略,阻止TCP端口3389。

        5、 安天智甲终端防御系统与安天资产安全运维系统组合使用,可以充分减少暴露面,形成威胁防御响应的基础框架。

附录一:参考资料

[1]  CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability

        https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

        https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EA

        https://support.microsoft.com/en-us/help/4500331/windows-update-kb4500331

[2]  Acknowledgements: Remote Desktop Services Remote Code Execution Vulnerability(he UK's National Cyber Security Centre (NCSC))

        https://portal.msrc.microsoft.com/en-us/security-guidance/acknowledgments
【漏洞补丁下载地址】
Windows 7 SP1 和 Windows Server 2008 R2 SP1需要先安装微软三月汇总补丁KB4489878,具体详见微软官方说明:https://support.microsoft.com/zh-cn/help/4499164
免责申明:此工具包含的补丁来自微软,安装补丁可能会引起系统蓝屏、无法上网等故障,请在安装补丁前做好系统备份。

[td]
系统版本补丁号及下载链接安装补丁的先决条件备注
Windows XPKB4500331
x86
Service Pack 3;没有打过SP的版本,需要先升级到SP2,才能升级到SP3x86 SP2
x86 SP3
Windows XP SP3 for XPeKB4500331
x86
暂未验证当前系统不支持工具自动升级,请从左侧下载补丁手动安装。
Windows XP Embedded(WES09 and POSReady 2009)KB4500331
x86
暂未验证当前系统不支持工具自动升级,请从左侧下载补丁手动安装。
Windows Server 2003KB4500331
x86
x64
Service Pack 2x86 SP2
Windows 7KB4499175
x86
x64
Service Pack 1 + KB4489878x86 SP1
x86 KB4489878
x64 SP1
x64 KB4489878
Windows Embedded Standard 7KB4499175
x86
x64
KB4489878当前系统不支持工具自动升级,请手动下载补丁安装。
x86 KB4489878
x64 KB4489878
Windows Server 2008KB4499180
x86
x64 IA64
Service Pack 2;没有打过SP的版本需要先升级到SP1,才能升级到SP2x86 SP1
x86 SP2
x64 SP2
Windows Server 2008 R2KB4499175
x64
IA64
Service Pack 1 + KB4489878x64 SP1
x64 KB4489878
IA64 KB4489878



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Copyright © 2003-2019 yunsafe.com All Rights Reserved 青云安全 法律顾问:王志刚 ( 豫ICP备19043409号 )

中国 · 郑州 · 中原区 · 万达广场      服务热线:0371-67770077

QQ

 
QQ在线咨询
在线咨询QQ
285584、2998872
售前咨询热线
0371-67770077
快速回复 返回顶部 返回列表