当前位置:首页 > 安全预警 > 正文

关于Microsoft远程桌面服务存在远程代码执行漏洞的安全提示

发布时间:2019-05-16 14:05:54,来源:中国信息通信研究院

2019年5月15日,工业和信息化部网络安全威胁信息共享平台收到关于Microsoft远程桌面服务远程代码执行漏洞的威胁情报。攻击者利用该漏洞,可在未授权且无需用户交互的情况下目标系统上执行任意代码。目前,微软公司已发布官方补丁。

 

一、漏洞情况概述

 

未经身份验证的攻击者可使用RDP连接目标系统并发送恶意构造请求,可以在目标系统上执行任意代码,进而可以在目标系统安装程序、查看、更改或删除数据,或创建具有完全用户权限的新帐户。由于该漏洞存在于RDP协议的预身份验证阶段,因此漏洞利用无需进行用户交互操作,存在被不法分子利用进行蠕虫攻击的可能。

 

该漏洞CVSS评分为“9.8”,网络安全威胁信息共享平台对该漏洞的综合评级为“高危”。

 

二、漏洞影响范围及处置情况

 

漏洞影响的产品版本包括:

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems ServicePack 1

Windows Server 2008 for 32-bit SystemsService Pack 2

Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-BasedSystems Service Pack 2

Windows Server 2008 for x64-based SystemsService Pack 2

Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1

Windows Server 2008 R2 for x64-basedSystems Service Pack 1

Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP SP2 x64

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 SP2 x64

 

2019年5月14日,微软已发布本月安全更新补丁,其中包含修复远程桌面协议(RDP)远程代码执行漏洞的安全补丁。为尽快消除安全风险,中国信息通信研究院将进一步严密监测该漏洞发展态势,发出安全提示并指导相关用户尽快修复相关问题。

 

三、漏洞修复建议

 

目前,微软官方已发布补丁修复此漏洞,建议用户立即升级至最新版本,下载链接为:

 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

 

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

 

此外,可采取以下临时防护措施:

 

1、主机层面:禁用远程桌面服务;使用主机防火墙阻断远程桌面服务端口(默认为TCP的3389端口)的通信;启用网络级认证(NLA)功能(适用于Windows 7、Windows Server 2008和Windows Server 2008 R2)。

 

2、网络层面:通过网络设备(防火墙、路由器等)对目标主机的远程桌面服务端口(默认为TCP的3389端口)进行阻断。

 

中国信息通信研究院后续将密切监测和关注相关情况。如需技术支援,请联系中国信息通信研究院。

 

 

参考链接:

 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

 

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/