当前位置:首页 > 安全预警 > 正文

RDP远程桌面客户端远程代码执行漏洞预警

发布时间:2019-09-11 18:57:47,来源:中国信息通信研究院

      一、基本情况

Microsoft发布了九月份安全补丁更新。在官方的安全更新公告中,出现了4个RDP的远程桌面客户端的远程代码执行漏洞,CVE编号:CVE-2019-0787/0788/1290/1291。攻击者可以在连接存在漏洞客户端的计算机上执行任意代码。

      二、攻击原理

Remote Desktop Client是微软开发的用于实现远程桌面协议的一个客户端操作软件。用户可以使用Microsoft远程桌面客户端从任意地方连接到远程PC主机和工作资源,并可以访问所有应用程序,文件和网络资源。

2019年5月份,微软更新了一个RDP远程代码执行漏洞--CVE-2019-0708,恶意攻击者若成功利用此漏洞可能会造成堪比2018年Wannacry事件的严重影响,由于发现和防御及时,该漏洞未造成严重影响,但仍然引起高度重视。此次微软补丁日的补丁更新再度公开了RDP的最新远程代码执行漏洞。

CVE-2019-1181以及CVE-2019-1182,均属于远程代码执行漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,即可以触发该漏洞。此漏洞属于预身份验证,无需用户交互,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户。

而微软九月份的安全更新披露的4个与RDP相关的漏洞,已经从RDP协议本身转移到RDP相关的利用软件,且利用方式也发生了变化,但造成的影响依然巨大。

此次披露的4个CVE需要攻击者使用社交工程、DNS中毒、中间人等技术诱骗受害者进行恶意服务器的连接,这大大降低了用户被攻击的频率。需要注意的是,微软官方特别指出了攻击者可以先攻击合法服务器,然后在服务器上托管恶意代码,等待用户连接。这种攻击方式的影响力巨大,且一旦被感染,很有可能造成大范围的主机沦陷。该种攻击方式可被攻击者用来构建僵尸网络。

      三、影响范围

目前受影响的Windows版本:

1)4个CVE普遍影响版本:

Microsoft Windows 10及其之后更新版本

Microsoft Windows 7 for x64-based Systems SP1

Microsoft Windows 7 for 32-bit Systems SP1

Microsoft Windows 8.1 for 32-bit Systems

Microsoft Windows 8.1 for 64-bit Systems

Microsoft Windows RT 8.1

2)CVE-2019-1290/1291额外影响版本:

Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1

Microsoft Windows Server 2008 R2 for x64-based Systems SP1

Microsoft Windows Server 2012

Microsoft Windows Server 2012 R2

Microsoft Windows Server 2016

Microsoft Windows Server 2019

Microsoft Windows Server 1803/1903

      四、处置建议

1)及时安装微软发布的安全更新补丁

Microsoft官方已经在 2019年9月11日修复了这4个漏洞,用户可以通过安装微软的安全更新来给系统打上安全补丁,下载地址为:

CVE-2019-0787:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0787

CVE-2019-0788:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0788

CVE-2019-1290:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1290

CVE-2019-1291:

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1291

2)缓解措施(在无法及时安装微软安全更新的情况下作为临时性解决方案):

针对该4个漏洞暂无任何缓解措施,需要用户提升安全意识,不要访问未知安全状态的服务器,不要安装来源不明的软件,以防范漏洞攻击。

      五、参考链接

1)https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0787

2)https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0788

3)https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1290

4)https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1291

5)https://portal.msrc.microsoft.com/en-us/security-guidance/acknowledgments