网络安全
首页 /网络安全 / 正文

关于Windows远程桌面服务(RDP)远程代码执行漏洞的安全预警

日期:2019年09月25日

2019514日,微软发布了针对远程桌面服务(以前称为终端服务)的关键远程执行代码漏洞CVE-2019-0708的修复程序,该漏洞影响了某些旧版本的Windows

一、漏洞情况分析

Windows远程桌面服务(RDP)主要用于管理人员对 Windows 服务器进行远程管理,使用量极大。远程桌面协议(RDP)本身不容易受到攻击。此漏洞是预身份验证,无需用户交互。换句话说,该漏洞是“可传播的”,这意味着任何利用该漏洞的恶意软件都可能从受影响的计算机传播到受影响的计算机,就像2017WannaCry恶意软件在全球蔓延一样。该漏洞存在被不法分子利用进行蠕虫攻击的可能。

未经身份认证的攻击者可使用RDP协议连接到目标系统并发送精心构造的请求可触发该漏洞。成功利用此漏洞的攻击者可在目标系统上执行任意代码,可安装应用程序,查看、更改或删除数据,创建完全访问权限的新账户等。

二、受影响的版本

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack1

Windows Server 2008 for 32-bit SystemsService Pack 2

Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based SystemsService Pack 2

Windows Server 2008 for x64-based SystemsService Pack 2

Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1

Windows Server 2008 R2 for x64-based SystemsService Pack 1

Windows Server 2008 R2 for x64-based SystemsService Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP Professional x64 Edition SP2

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 x64 Edition SP2

注:其中Windows Server 2003以及Windows XP已经不再受支持,但此次仍会发布对应的漏洞补丁。

三、不受影响的版本

Windows 8

Windows 10

四、缓解措施

1.如果不需要,请禁用远程桌面服务。禁用未使用和不需要的服务有助于减少系统安全漏洞风险,若系统不再需要这些服务,请考虑禁用它们。

2.在运行Windows 7Windows Server 2008Windows Server 2008 R2的提供支持版本的系统上启用网络级别身份验证(NLA),以阻止未经身份验证的攻击者利用此漏洞。启用NLA后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。

3.通过主机防火墙对远程桌面服务端口进行阻断(默认为TCP3389)TCP端口3389用于启动与受影响组件的连接。在防火墙处阻止此端口将有助于保护防火墙后面的系统免于此漏洞的威胁,有助于保护网络免受来自校园网外部的攻击。

五、解决方案

在微软发布的5月更新中已经修复了该漏洞,由于NLA在触发漏洞之前需要身份验证,因此受影响的系统可以缓解可能利用该漏洞的“蠕虫”恶意软件或新版的恶意软件威胁。但是,如果攻击者拥有可以用来成功验证身份的有效凭证,受影响的系统仍然容易受到远程代码执行(RCE)的攻击。因此,强烈建议学校师生用户,无论是否启用了NLA,都应尽快升级更新进行防护。

补丁参考链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708