新闻中心

新闻中心

关注安百最新动态,掌握新鲜安全资讯

远程桌面服务远程执行代码漏洞 CVE-2019-0708 漏洞预警
2019-05-15 17:08:17

>>>>漏洞背景


Microsoft 于5月14日发布其 2019 年 5月的安全更新。其中包括 79 个CVE的安全补丁以及两个建议。在这79个CVE中,22个被评为 Critical (严重),57个被评为 Important。


其中最令人关注的就是 CVE-2019-0708 Remote Desktop Services Remote Code Execution Vulnerability(远程桌面服务远程执行代码漏洞)。


此更新更正了远程桌面服务(以前称为终端服务)中的预身份验证错误,该错误可能允许攻击者在目标系统上执行其代码。攻击者只需要通过RDP协议发送特制请求即可。这一系列动作在验证之前发生,并且不涉及用户交互,因此可被用作蠕虫攻击。


这种攻击手段与前段时间爆出的 WANNACRY 永恒之蓝 (MS17-010)漏洞类似,因此可以想象,一旦攻击利用代码流出,将迅速的在网络中流传,将再次成为各大漏洞利用攻击包中的利器。


微软给予它最高的漏洞利用指数(XI)评级,甚至对于 Windows XP 和 Windows Server 2003等不支持的操作系统提供更新补丁,可见微软对于此漏洞的重视程度和漏洞的危害程度之大。


根据微软的说法,该漏洞尚未被披露或被利用,在撰写本文时,网络上尚未流传相关的 POC 验证程序或 exp 漏洞利用代码,我们无法自测系统是否存在此漏洞。但考虑到蠕虫活动的可能性,建议采取充分的谨慎态度,应根据此漏洞影响的操作系统版本自查,并立即安装安全补丁。此外,应尽可能限制网络边缘的入站RDP,最好只允许特定的授权来源。


在一段时间内,国内外各大安全厂商将会根据补丁进行详细分析,将可能会流传出严重或攻击手段,这些手段也很有可能被用来进行恶意活动行为,因此,建议立即为服务器和个人电脑安装此补丁。


>>>>影响版本


Windows 7

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003

Windows XP


>>>>不受影响版本


Windows 8

Windows 10


>>>>缓解措施


在非必要的情况下,请禁用远程桌面服务。


>>>>解决办法


微软表示强烈建议用户尽快安装此漏洞的更新:


1.在 windows 7,Windows Server 2008和 Windows Server 2008 R2 系统上启用网络级别身份验证(NLA)

可以通过启用网络级别身份验证,以阻止未经身份验证的攻击者利用此漏洞。启用NLA后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。


2.在企业外围防火墙处阻止TCP 3389

在企业网络层出口处把端口封掉,万事大吉。


>>>>安全补丁


对于目前正在获得windows支持更新的操作系统版本,可在 2019 年5月的补丁中下载获得,也可以在微软官方网站中下载手动更新:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708


对于不再获得支持的windows版本,可以在下面的链接处获得更新补丁:

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708


>>>>参考文献


https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708


  • 漏洞扫描
  • 渗透测试
  • 安百科技
  • 漏洞扫描
  • 渗透测试
  • 安百科技