🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

Windows远程桌面服务远程代码执行漏洞(CVE-2019-1181、CVE-2019-1182)预警

安天 2021-02-22


1  概述


2019年8月13日,微软官方发布的漏洞中包含两个的远程桌面服务(Remote Desktop Services)远程代码执行漏洞。这两个漏洞与之前修复的“BlueKeep”漏洞(CVE-2019-0708)一样,攻击者利用漏洞无需用户的交互,即可实施攻击,可用于传播类似“WannaCry”(魔窟)的蠕虫病毒。
根据相关数据源统计,目前,全球公共网络中有300多万计算机开启了3389端口,即未改变端口的远程桌面服务(RDP),对于没有经过配置加固的内网更有大量机器开放相关端口服务。因此,该漏洞既可能造成互联网大面积的蠕虫传播、僵尸网络大面积感染,也能形成内网大面积横向移动攻击能力。


2   漏洞描述


漏洞编号:CVE-2019-1181、CVE-2019-1182
这两个漏洞允许未经身份验证的攻击者使用远程桌面服务连接到目标系统并发送特制请求,漏洞利用预身份验证,无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码,攻击者可以安装程序、查看、更改、删除数据,或创建具有完全用户权限的新帐户。


3  受影响范围

  

受影响的Windows操作系统版本:
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bitSystems
Windows 10 Version 1607 for x64-basedSystems
Windows 10 Version 1703 for 32-bitSystems
Windows 10 Version 1703 for x64-basedSystems
Windows 10 Version 1709 for 32-bitSystems
Windows 10 Version 1709 for 64-basedSystems
Windows 10 Version 1709 for ARM64-basedSystems
Windows 10 Version 1803 for 32-bitSystems
Windows 10 Version 1803 for ARM64-basedSystems
Windows 10 Version 1803 for x64-basedSystems
Windows 10 Version 1809 for 32-bitSystems
Windows 10 Version 1809 for ARM64-basedSystems
Windows 10 Version 1809 for x64-basedSystems
Windows 10 Version 1903 for 32-bitSystems
Windows 10 Version 1903 for ARM64-basedSystems
Windows 10 Version 1903 for x64-basedSystems
Windows 7 for 32-bit Systems ServicePack 1
Windows 7 for x64-based Systems ServicePack 1
Windows 8.1 for 32-bit systems
Windows 8.1 for x64-based systems
Windows RT 8.1
Windows Server 2008 R2 forItanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-basedSystems Service Pack 1
Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Coreinstallation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Coreinstallation)
Windows Server 2016
Windows Server 2016 (Server Coreinstallation)
Windows Server 2019
Windows Server 2019 (Server Coreinstallation)
Windows Server, version 1803 (ServerCore Installation)
Windows Server, version 1903 (ServerCore installation)

值得注意的是,正在使用Windows 7 Service Pack 1或Windows Server 2008 R2 Service Pack 1的用户,只有安装了RDP 8.0或RDP 8.1,才会受漏洞影响。

 


4  修复及缓解建议


1、  尽快为受影响的系统安装漏洞的补丁 [1] [2]。2、  如果不需要使用远程桌面服务,建议禁用该服务。3、  在受影响版本的系统上启用网络级身份验证(NLA);启用NLA后,攻击者需要使用目标系统上的有效账户对远程桌面服务进行身份验证,才能成功利用该漏洞。4、  在企业外围或边界防火墙上部署安全策略,阻止TCP端口3389。5、  安天智甲终端防御系统与安天资产安全运维系统组合使用,可以充分减少暴露面,形成威胁防御响应的基础框架。




5  安天智甲可以有效防护


安天智甲可以帮助用户检测是否受漏洞影响,并安装补丁程序修复漏洞。



6参考资料


[1]    CVE-2019-1181 | Remote Desktop Services Remote Code ExecutionVulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

[2]    CVE-2019-1182 | Remote Desktop Services Remote Code ExecutionVulnerability

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182


1

往期推荐

实战化威胁猎杀,让威胁无处遁形——“美向俄电网植入恶意代码”等有关报道带来的启示

VirtualAPP技术应用及安全分析报告

安天蜜网捕获“利用ElasticSearch Groovy漏洞进行门罗币(Dog)挖矿”事件分析

Windows远程代码执行漏洞(CVE-2019-0708)预警

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存