Windows远程代码执行漏洞(CVE-2019-0708)预警

安天 2021-02-22

概述

2019年5月14日微软官方发布了对远程桌面服务（Remote Desktop Services）的关键远程代码执行漏洞CVE-2019-0708的安全补丁，受影响的Windows系统版本在启用了远程桌面服务时容易遭受远程代码执行攻击。该漏洞不需要用户交互，即该漏洞可以被利用发起蠕虫类攻击，类似WannaCry（魔窟）勒索蠕虫事件。虽然目前没有发现对该漏洞的利用，但之后攻击者很可能将该漏洞利用加入到恶意代码中，就像MS17-010（永恒之蓝）漏洞一样，微软在2017年3月14日发布MS17-010漏洞补丁，2017年5月12日WannaCry（魔窟）利用永恒之蓝漏洞进行传播。

根据相关数据源统计，目前，全球公共网络中有近300多万计算机开启了3389端口，即未改变端口的远程桌面服务（RDP），对于没有经过配置加固的内网更有大量机器开放相关端口服务。因此，该漏洞既可能造成互联网大面积的蠕虫传播、僵尸网络大面积感染，也能形成内网大面积横向移动攻击能力。

漏洞描述

漏洞编号：CVE-2019-0708

该漏洞允许未经身份验证的攻击者使用远程桌面服务连接到目标系统并发送精心设计过的请求，利用其身份预认证、不需要用户交互确认同意接收连接的缺陷，即可在目标系统上执行任意代码，涵盖但不限于安装程序，查看、更改或删除目标系统内数据，或创建具有完全用户权限的新账户。

利用此漏洞需要满足以下条件：

1.在Windows操作系统启用了Remote Desktop Services远程桌面服务，且未及时安装更新补丁。

2.攻击者通过RDP向目标系统远程桌面服务发送精心设计的请求。

受影响范围

受影响的Windows操作系统版本：

Windows XP SP3 x86
Windows XP 专业 x64 版 SP2
Windows XP Embedded SP3 x86
Windows 7 for 32-bit Systems ServicePack 1
Windows 7 for x64-based Systems ServicePack 1
Windows Server 2003 SP2 x86
Windows Server 2003 x64 版本 SP2
Windows Server 2008 for 32-bit SystemsService Pack 2
Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-BasedSystems Service Pack 2
Windows Server 2008 for x64-basedSystems Service Pack 2
Windows Server 2008 for x64-basedSystems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 forItanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-basedSystems Service Pack 1
Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server Core installation)