远程执行代码漏洞安全预警通告

管理员  |  2019/5/24 9:58:13

关于Windows远程桌面服务（RDP）存在

远程执行代码漏洞安全预警通告

第一章 安全通告

2019年5月15日微软发布安全补丁修复了CVE编号为CVE-2019-0708的Windows远程桌面服务（RDP）远程代码执行漏洞，该漏洞在不需身份认证的情况下即可远程触发，危害与影响面极大。

通过分析发现国内共有154万余台主机对外开放3389端口，可能受到此漏洞影响。

第二章  漏洞信息

2.1 漏洞描述

Windows 远程桌面服务（RDP）主要用于管理人员对 Windows 服务器进行远程管理，使用极为普遍。近日微软官方披露Windows中的远程桌面服务中存在远程代码执行漏洞，未经身份认证的攻击者可使用RDP协议连接到目标系统并发送精心构造的请求可触发该漏洞。

2.2漏洞危害

一旦攻击者成功利用此漏洞，可在目标系统上执行任意代码，安装应用程序，创建完全访问权限的新账户等。攻击者还可以对系统中的重要文件和数据使用勒索病毒进行加密，如果系统接入到内网环境中，可能还会造成对内网的各类终端机器的造成进一步感染，造成更加严重的后果。

2.3风险等级

风险评级：高危

预警等级：蓝色预警（一般事件）

第三章 影响版本

       l  Windows 7 for 32-bit Systems Service Pack 1

       l  Windows 7 for x64-based Systems Service Pack 1

       l  Windows Server 2008 for 32-bit Systems Service Pack 2

       l  Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

       l  Windows Server 2008 for Itanium-Based Systems Service Pack 2

       l  Windows Server 2008 for x64-based Systems Service Pack 2

       l  Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

       l  Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

       l  Windows Server 2008 R2 for x64-based Systems Service Pack 1

       l  Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

第三章  处置建议

官方补丁：微软官方已经推出安全更新请参考以下官方安全通告下载并安装最新补丁：

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

或根据以下表格查找对应的系统版本下载最新补丁：

缓解措施：

1.如无法更新补丁，可以通过在系统上启动NLA（网络级别身份认证）暂时规避该漏洞风险。

2.在企业边界防火墙阻断TCP协议inbound 3389的连接，或只允许可信IP进行连接。

3.如无明确需求，可选择禁用3389端口（远程桌面服务）。

       绵阳微信公众号开发、绵阳网站建设、绵阳域名注册、绵阳软件开发、思高科技提醒信息来源：绵阳市网络与信息安全信息通报中心