发布时间:2019-09-11 18:57:47,来源:中国信息通信研究院
一、基本情况
Microsoft发布了九月份安全补丁更新。在官方的安全更新公告中,出现了4个RDP的远程桌面客户端的远程代码执行漏洞,CVE编号:CVE-2019-0787/0788/1290/1291。攻击者可以在连接存在漏洞客户端的计算机上执行任意代码。
二、攻击原理
Remote Desktop Client是微软开发的用于实现远程桌面协议的一个客户端操作软件。用户可以使用Microsoft远程桌面客户端从任意地方连接到远程PC主机和工作资源,并可以访问所有应用程序,文件和网络资源。
2019年5月份,微软更新了一个RDP远程代码执行漏洞--CVE-2019-0708,恶意攻击者若成功利用此漏洞可能会造成堪比2018年Wannacry事件的严重影响,由于发现和防御及时,该漏洞未造成严重影响,但仍然引起高度重视。此次微软补丁日的补丁更新再度公开了RDP的最新远程代码执行漏洞。
CVE-2019-1181以及CVE-2019-1182,均属于远程代码执行漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,即可以触发该漏洞。此漏洞属于预身份验证,无需用户交互,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户。
而微软九月份的安全更新披露的4个与RDP相关的漏洞,已经从RDP协议本身转移到RDP相关的利用软件,且利用方式也发生了变化,但造成的影响依然巨大。
此次披露的4个CVE需要攻击者使用社交工程、DNS中毒、中间人等技术诱骗受害者进行恶意服务器的连接,这大大降低了用户被攻击的频率。需要注意的是,微软官方特别指出了攻击者可以先攻击合法服务器,然后在服务器上托管恶意代码,等待用户连接。这种攻击方式的影响力巨大,且一旦被感染,很有可能造成大范围的主机沦陷。该种攻击方式可被攻击者用来构建僵尸网络。
三、影响范围
目前受影响的Windows版本:
1)4个CVE普遍影响版本:
Microsoft Windows 10及其之后更新版本
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 8.1 for 32-bit Systems
Microsoft Windows 8.1 for 64-bit Systems
Microsoft Windows RT 8.1
2)CVE-2019-1290/1291额外影响版本:
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2016
Microsoft Windows Server 2019
Microsoft Windows Server 1803/1903
四、处置建议
1)及时安装微软发布的安全更新补丁
Microsoft官方已经在 2019年9月11日修复了这4个漏洞,用户可以通过安装微软的安全更新来给系统打上安全补丁,下载地址为:
CVE-2019-0787:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0787
CVE-2019-0788:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0788
CVE-2019-1290:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1290
CVE-2019-1291:
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1291
2)缓解措施(在无法及时安装微软安全更新的情况下作为临时性解决方案):
针对该4个漏洞暂无任何缓解措施,需要用户提升安全意识,不要访问未知安全状态的服务器,不要安装来源不明的软件,以防范漏洞攻击。
五、参考链接
1)https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0787
2)https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0788
3)https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1290
4)https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1291
5)https://portal.msrc.microsoft.com/en-us/security-guidance/acknowledgments