发布时间:2019-09-11 13:48:02,来源:中国信息通信研究院
一、基本情况
2019年5月15日微软发布安全补丁修复了Windows远程桌面服务(RDP)远程代码执行漏洞,CVE编号:CVE-2019-0708。该漏洞在不需身份认证的情况下即可远程触发,危害与影响面极大。
目前,EXP代码已被公开发布至metasploit-framework的Pull requests中,经测试已经可以远程代码执行。强烈建议用户立即安装相应的补丁或采取其他缓解措施以避免受到相关的威胁。
二、漏洞描述
Windows 远程桌面服务(RDP)主要用于管理人员对 Windows 服务器进行远程管理,使用量极大。近日微软官方披露Windows中的远程桌面服务中存在远程代码执行漏洞,未经身份认证的攻击者可使用RDP协议连接到目标系统并发送精心构造的请求可触发该漏洞。成功利用此漏洞的攻击者可在目标系统上执行任意代码,可安装应用程序,查看、更改或删除数据,创建完全访问权限的新账户等。此漏洞主要影响的设备为Windows7、Window Server 2008以及微软已不再支持的Windows2003、WindowXP操作系统,涉及系统在国内依然有大量的使用,所以此漏洞的影响面巨大。由于漏洞利用无需用户交互的特性结合巨大的影响面,意味着该漏洞极有可能被蠕虫所利用,如果漏洞利用稳定有可能导致类似WannaCry蠕虫泛滥的情况发生。
目前已经确认利用此漏洞可以至少非常稳定地触发受影响系统蓝屏崩溃从而导致拒绝服务,到5月31日已有公开渠道发布可以导致系统蓝屏崩溃的PoC代码出现,有企图的攻击者可以利用此PoC工具对大量存在漏洞的系统执行远程拒绝服务攻击。至2019年9月7日,已有可导致远程代码执行的Metasploit模块的Pull request公开发布,随着工具的扩散,已经构成了蠕虫级的现实安全威胁。
本次公开的利用代码可用于攻击 Windows 7 SP1 x64 与 Windows 2008 R2 x64。目前该 Exp 并未实现精准的全自动化的攻击过程,攻击参数需要手动进行配置。错误的参数配置有可能导致目标服务器蓝屏重启。并且,Windows2008 R2 x64 需要对注册表进行修改配置后才能够被该 Exp 攻击成功。
微软针对此漏洞已经发布了安全补丁(包括那些已经不再提供技术支持的老旧操作系统),强烈建议用户立即安装相应的补丁或其他缓解措施以避免受到相关的威胁。
三、影响范围
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack1
Windows Server 2008 for 32-bit SystemsService Pack 2
Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based SystemsService Pack 2
Windows Server 2008 for x64-based SystemsService Pack 2
Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1
Windows Server 2008 R2 for x64-based SystemsService Pack 1
Windows Server 2008 R2 for x64-based SystemsService Pack 1 (Server Core installation)
Windows XP SP3 x86
Windows XP Professional x64 Edition SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64 Edition SP2
四、处置建议
1)微软官方已经推出安全更新请参考以下官方安全通告下载并安装最新补丁:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
2)或根据以下表格查找对应的系统版本下载最新补丁:
操作系统版本 | 补丁下载链接 |
Windows 7 x86 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu |
Windows 7 x64 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu |
Windows Embedded Standard 7 for x64 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu |
Windows Embedded Standard 7 for x86 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu |
Windows Server 2008 x64 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu |
Windows Server 2008 Itanium | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu |
Windows Server 2008 x86 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu |
Windows Server 2008 R2 Itanium | http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu |
Windows Server 2008 R2 x64 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu |
Windows Server 2003 x86 | http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe |
Windows Server 2003 x64 | http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe |
Windows XP SP3 | http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe |
Windows XP SP2 for x64 | http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe |
Windows XP SP3 for XPe | http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe |
WES09 and POSReady 2009 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/04/windowsxp-kb4500331-x86-embedded-chs_e3fceca22313ca5cdda811f49a606a6632b51c1c.exe |
3)缓解措施:
如无法更新补丁,可以通过在系统上启动NLA(网络级别身份认证)暂时规避该漏洞风险。
在企业边界防火墙阻断TCP协议inbound 3389的连接,或只允许可信IP进行连接。
如无明确要求,可选择禁用3389(远程桌面服务)。
五、参考链接
1)https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
2)https://github.com/rapid7/metasploit-framework/pull/12283?from=timeline&isappinstalled=0