【预警通告】Windows远程桌面服务远程代码执行漏洞安全预警通告第八次更新
The following article is from 奇安信 CERT Author 奇安信 CERT
点击箭头处“蓝色字”,关注我们哦!!
尊敬的客户:
北京时间2019年5月15日微软发布安全补丁修复了CVE编号为CVE-2019-0708的Windows远程桌面服务(RDP)远程代码执行漏洞,该漏洞在不需身份认证的情况下即可远程触发,危害与影响面极大。
目前,EXP代码已被公开发布至metasploit-framework的Pull requests中,经测试已经可以远程代码执行。强烈建议用户立即安装相应的补丁或采取其他缓解措施以避免受到相关的威胁。
2019年5月15日监测到此漏洞后,我们立即使用奇安信全球鹰系统分析发现国内总共有1543410台主机对外开放3389端口,可能受到漏洞影响。
注:数据来源奇安信全球鹰网络空间测绘服务
奇安信安全监测与响应中心将持续关注该漏洞进展,并第一时间为您更新该漏洞信息。
文档信息
文档名称 | Windows远程桌面服务远程代码执行漏洞安全预警通告第八次更新 |
关键字 | Windows、远程代码执行、CVE-2019-0708 |
发布日期 | 2019年09月07日 |
分析团队 | 奇安信安全监测与响应中心、奇安信威胁情报中心 |
漏洞描述
Windows 远程桌面服务(RDP)主要用于管理人员对 Windows 服务器进行远程管理,使用量极大。近日微软官方披露Windows中的远程桌面服务中存在远程代码执行漏洞,未经身份认证的攻击者可使用RDP协议连接到目标系统并发送精心构造的请求可触发该漏洞。成功利用此漏洞的攻击者可在目标系统上执行任意代码,可安装应用程序,查看、更改或删除数据,创建完全访问权限的新账户等。此漏洞主要影响的设备为Windows7、Window Server 2008以及微软已不再支持的Windows2003、WindowXP操作系统,涉及系统在国内依然有大量的使用,所以此漏洞的影响面巨大,到2019年9月7日,奇安信全球鹰系统评估互联网上可被直接攻击的国内受影响RDP服务器还大量存在。由于漏洞利用无需用户交互的特性结合巨大的影响面,意味着该漏洞极有可能被蠕虫所利用,如果漏洞利用稳定有可能导致类似WannaCry蠕虫泛滥的情况发生。
目前已经确认利用此漏洞可以至少非常稳定地触发受影响系统蓝屏崩溃从而导致拒绝服务,到5月31日已有公开渠道发布可以导致系统蓝屏崩溃的PoC代码出现,有企图的攻击者可以利用此PoC工具对大量存在漏洞的系统执行远程拒绝服务攻击。至2019年9月7日,已有可导致远程代码执行的Metasploit模块的Pull request公开发布,随着工具的扩散,已经构成了蠕虫级的现实安全威胁。
本次公开的利用代码可用于攻击 Windows 7 SP1 x64 与 Windows 2008 R2 x64。目前该 Exp 并未实现精准的全自动化的攻击过程,攻击参数需要手动进行配置。错误的参数配置有可能导致目标服务器蓝屏重启。并且,Windows2008 R2 x64 需要对注册表进行修改配置后才能够被该 Exp 攻击成功。
微软针对此漏洞已经发布了安全补丁(包括那些已经不再提供技术支持的老旧操作系统),强烈建议用户立即安装相应的补丁或其他缓解措施以避免受到相关的威胁。
此漏洞的相关事件时间线如下:
1. 2019年5月14日
微软发布远程桌面服务远程代码执行漏洞CVE-2019-0708的安全通告及相应补丁,并特别针对此漏洞发布了专门的说明,提示这是一个可能导致蠕虫泛滥的严重漏洞。
2. 2019年5月15日
奇安信威胁情报中心发布漏洞安全预警及处置方案,随后奇安信安全产品线发布漏洞检测修复工具。
3. 2019年5月22日
奇安信红雨滴团队发布非破坏性漏洞扫描工具并更新至奇安信漏洞检测修复工具中。
4. 2019年5月23日
互联网公开渠道出现具有非破坏性漏洞扫描功能的PoC程序。
5. 2019年5月25日
黑客开始大规模扫描存在漏洞的设备。
6. 2019年5月30日
微软再次发布对于CVE-2019-0708漏洞做修补的提醒,基于漏洞的严重性强烈建议用户尽快升级修复。
7. 2019年5月31日
互联网公开渠道出现能导致蓝屏的PoC代码,奇安信威胁情报中心红雨滴团队已经确认了PoC代码的可用性,漏洞相关的现实威胁进一步升级。
结合目前已经有黑客进行大规模扫描存在漏洞设备并进行收集的情况,很有可能导致现实中存在漏洞的主机被批量进行漏洞攻击而导致大规模拒绝服务,奇安信威胁情报中心提醒务必对资产进行检查,并修补设备的漏洞。
已有公开渠道的MetasploitCVE-2019-0708漏洞利用模块发布,构成现实的蠕虫威胁。
风险等级
奇安信安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般事件)
影响范围
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack1
Windows Server 2008 for 32-bit SystemsService Pack 2
Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based SystemsService Pack 2
Windows Server 2008 for x64-based SystemsService Pack 2
Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1
Windows Server 2008 R2 for x64-based SystemsService Pack 1
Windows Server 2008 R2 for x64-based SystemsService Pack 1 (Server Core installation)
Windows XP SP3 x86
Windows XP Professional x64 Edition SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64 Edition SP2
处置建议
官方补丁:
微软官方已经推出安全更新请参考以下官方安全通告下载并安装最新补丁:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
或根据以下表格查找对应的系统版本下载最新补丁:
操作系统版本 | 补丁下载链接 |
Windows 7 x86 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu |
Windows 7 x64 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu |
Windows Embedded Standard 7 for x64 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu |
Windows Embedded Standard 7 for x86 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu |
Windows Server 2008 x64 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu |
Windows Server 2008 Itanium | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4.msu |
Windows Server 2008 x86 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu |
Windows Server 2008 R2 Itanium | http://download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fabc8e54caa0d31a5abe8a0b347ab4a77aa98c36.msu |
Windows Server 2008 R2 x64 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu |
Windows Server 2003 x86 | http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe |
Windows Server 2003 x64 | http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe |
Windows XP SP3 | http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe |
Windows XP SP2 for x64 | http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe |
Windows XP SP3 for XPe | http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe |
WES09 and POSReady 2009 | http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/04/windowsxp-kb4500331-x86-embedded-chs_e3fceca22313ca5cdda811f49a606a6632b51c1c.exe |
缓解措施:
1. 如无法更新补丁,可以通过在系统上启动NLA(网络级别身份认证)暂时规避该漏洞风险。
2. 在企业边界防火墙阻断TCP协议inbound 3389的连接,或只允许可信IP进行连接。
3. 如无明确要求,可选择禁用3389(远程桌面服务)。
产品线解决方案
奇安信天擎产品处置方案:
1. 使用天擎策略禁止远程桌面到终端。
a). 登录天擎控制台,进入策略中心——管控策略,创建新模板(或修改原有模板)
b). 启用“桌面加固”,将“计算机远程桌面到本机 ”设置为“禁用”。
c). 分发该策略到全网计算机。
2. 更新奇安信集团2019.05.15.1版本及之后的补丁库。
a).在策略中心修改策略为“安装补丁后自动重启”,系统补丁安装后必须要重启,否则并没有修复漏洞,仍然会被利用攻击。(6.6版本支持,其他版本的用户在单点维护中单点的下发重启任务,或者通过别的方法要求终端用户配合重启)
b).在天擎控制台——终端管理——漏洞管理——按终端显示,下发全网扫描任务,让所有的终端扫描补丁情况。
c).在天擎控制台——终端管理——漏洞管理——按漏洞显示,找到需要紧急的漏洞对应的补丁,手动按分组分多个批次下发修复任务。
奇安信CVE-2019-0708漏洞专修工具处置方案:
奇安信终端安全管理团队针对“Windows远程桌面服务的远程代码执行漏洞CVE-2019-0708”推出了检测修复工具。该工具可以快速检测系统是否存在该漏洞,并提供修复功能,详情见下文:
奇安信天眼新一代威胁感知系统产品检测方案:
奇安信天眼新一代威胁感知系统已经可以检测CVE-2019-0708,规则名称为:Microsoft Windows RDP服务远程代码执行漏洞(CVE-2019-0708),规则编号为:0x59ab。建议用户升级至最新版本3.0.0522.11071或以上版本。另外,可以在天眼新一代威胁感知系统的日志检索中,可以选择“网络日志”-“TCP流量”,目的端口为3389的流量日志进行溯源分析。对于访问资产远程桌面服务的外部可疑IP进行重点排查。
网神虚拟化安全管理平台(无代理版本)防护方案:
网神虚拟化安全管理平台无代理版本可通过更新入侵防御规则库到10144版本,支持对微软rdp远程代码执行漏洞(CVE-2019-0708)的防护,请用户联系技术支持人员获取规则升级包对虚拟化产品无代理版本进行升级。
奇安信网神天堤防火墙产品防护方案:
奇安信网神新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 1905221542”及以上版本并启用规则ID: 51383进行检测。
奇安信网神网络数据传感器系统支持最新规则库检测:
奇安信网神网络数据传感器(ND3000/5000/9000系列)产品系列,已通过更新IPS特征库完成了对该漏洞的检测。建议用户尽快将IPS特征库升级至最新的特征库” 1905221545”及以上版本并启用规则ID: 51383进行检测。
奇安信全球鹰漏洞扫描CVE-2019-0708免费在线检测:
奇安信全球鹰分析发现国内总共有154万个IP对外开放3389端口,可能受到漏洞影响。现在全球鹰支持漏洞CVE-2019-0708在线免费快速检测服务,检测地址:https://webscan.qianxin.com/rdp
奇安信CVE-2019-0708 漏洞快速扫描检测工具:
奇安信CVE-2019-0708漏洞快速扫描检测工具是奇安信公司针对“Windows 远程桌面服务的远程代码执行漏洞 CVE-2019-0708”推出的一款远程扫描工具。该工具有两个版本,分别为快速扫描检测和批量快速扫描检测版本。详情请见本次推送的《奇安信CVE-2019-0708漏洞快速扫描检测工具手册》一文。
奇安信 CVE-2019-0708漏洞热补丁工具:
“奇安信CVE-2019-0708漏洞热补丁工具”是奇安信公司针对“Windows远程桌面服务的远程代码执行漏洞CVE-2019-0708”推出的一款热补丁工具。该工具能够针对系统环境无法打软件官网补丁或暂时无法重启的系统环境进行热补丁加固;详情请见本次推送的《CVE-2019-0708漏洞热补丁工具使用手册》一文。
参考资料
[1].https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
时间线
[1]. 2019年5月15日,奇安信安全监测与响应中心发布预警通告
[2]. 2019年5月15日,奇安信安全监测与响应中心通过邮件发布预警通告第二次更新
[3]. 2019年5月15日,奇安信安全监测与响应中心通过邮件发布预警通告第三次更新
[4]. 2019年5月16日,奇安信安全监测与响应中心通过公众号发布预警通告第三次更新
[5]. 2019年5月22日,奇安信安全监测与响应中心布预警通告第四次更新
[6]. 2019年5月24日,奇安信安全监测与响应中心发布预警通告第五次更新
[7]. 2019年5月28日,奇安信安全监测与响应中心发布预警通告第六次更新
[8]. 2019年5月31日,奇安信安全监测与响应中心发布预警通告第七次更新
[9]. 2019年9月7日,奇安信安全监测与响应中心发布预警通告第八次更新