5月14號,微軟發佈了最新的安全漏洞補丁:CVE-2019-0708 (遠程桌面服務遠程執行代碼漏洞:當未經身驗證的***者使用RDP連接到目標系統併發送特製請求時,遠程桌面服務(以前稱爲“終端服務”)中存在遠程執行代碼漏洞。)
漏洞危害:
此漏洞是預身份驗證,無需。用戶交互成功利用此漏洞的***者可以在目標系統上執行任意代碼***者可隨後安裝程序;查看,更改或刪除數據;或者創建擁有完全用戶權限的新帳戶。要利用此漏洞,***者需要通過RDP向目標系統遠程桌面服務發送特製的請求。)
因微軟遠程桌面(默認端口3389)爲常用服務,同時涉及N多還未升級或正在升級的架構系統環境均在此次影響範圍內容,所以此次影響範圍可能遠遠高於2017年4月14日的WannaCry勒索病毒“永恆之藍”,建議大家及時POC並進行相應安全補丁更新,具體內容如下:
受影響系統版本範圍:
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003(已停止維護)
Windows 7
Windows XP(已停止維護)
對應安全補丁鏈接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
緩解方法:
以下緩解措施在你遇到的情形中可能會有所幫助。在所有情況下,即使你計劃禁用遠程桌面服務,Microsoft強烈建議儘快安裝此漏洞的更新:
1.禁用遠程桌面服務(如果不需要)。
如果系統不再需要這些服務,根據保障安全的最佳做法,可考慮禁用這些服務。禁用不使用和不需要的服務有助於減少出現安全漏洞的可能性。
變通方法:
以下變通辦法在你遇到的情形中可能會有所幫助。在所有情況下,即使你計劃保留這些變通辦法,Microsoft強烈建議儘快安裝此漏洞的更新:
1.在運行受支持版本的Windows 7,Windows Server 2008和Windows Server 2008 R2的系統上啓用網絡級身份驗證(NLA)
你可以啓用網絡級身份驗證以阻止未經身份驗證的***者利用此漏洞。啓用NLA後,***者首先需要使用目標系統上的有效帳戶對遠程桌面服務進行身份驗證,然後才能利用此漏洞。
2.在企業邊界防火牆處阻止TCP端口3389
TCP端口3389用於啓動與受影響組件的連接。在網絡邊界防火牆處阻止此端口將有助於防止位於防火牆後面的系統嘗試利用此漏洞。這有助於防止網絡遭受來自企業邊界之外的***。在企業邊界阻止受影響的端口是幫助避免基於Internet的***的最佳防禦措施。然而,系統仍然可能容易受到來自其企業邊界內的***。
