查看原文
其他

漏洞预警 | 微软 CVE-2019-0708 高危漏洞

安恒应急响应中心 E安全 2022-05-13

更多全球网络安全资讯尽在E安全官网www.easyaq.com



一、安全公告

2019年5月14日,微软发布了本月安全更新补丁,其中包含一个RDP(远程桌面服务)远程代码执行漏洞的补丁更新,对应CVE编号:CVE-2019-0708,相关信息链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708


https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/


微软对此次补丁的描述内容如下:


远程桌面协议(RDP)本身不易受攻击,此漏洞是预身份验证,不需要用户交互,这意味着任何利用该漏洞的未来恶意软件都可能以类似于2017年在全球传播的Wannacry恶意软件的方式从易受攻击的计算机传播到易受攻击的计算机,虽然目前我们没有发现该漏洞被利用,但恶意攻击者很可能会针对该漏洞编写一个漏洞利用程序并将其合并到恶意软件中。现在重要的是尽快修补受影响的系统,以防止这种情况发生。


为了解决这个安全问题,此次微软为所有客户提供了安全更新,以保护Windows平台,另外还提供了一些不支持的Windows版本(Windows 2003和Windows XP)的安全更新,所以也体现了这个安全问题的严重性。


二、 影响版本

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP Professional x64 Edition SP2

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 x64 Edition SP2


三、影响范围

通过安恒研究院SUMAP平台对全球开启了远程桌面协议(RDP)的TCP 3389端口的资产统计,最新查询分布情况如下:


通过安恒研究院SUMAP平台对国内开启了远程桌面协议(RDP)的TCP 3389端口的资产统计,最新查询分布情况如下:



四、缓解措施

Windows 7、Windows Server 2008 R2和Windows Server 2008相关补丁更新可以参考《Microsoft安全更新指南》,访问地址:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708。


如果当前Windows系统是微软支持的版本,启用了自动更新的客户将会自动更新此补丁。


如果当前Windows系统是微软不支持的版本,不支持的系统(Windows 2003和Windows XP),解决此漏洞的最佳方法是升级到最新版本的Windows系统,同时微软也为这些旧的操作系统(Windows 2003和Windows XP)更新了安全补丁KB4500705来修复此漏洞,补丁更新地址:https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708。


运行Windows 8和Windows 10的客户不受此漏洞的影响。对于启用了网络级身份验证(NLA)的受影响系统可以部分缓解。由于NLA在触发漏洞之前需要身份验证,因此受影响的系统可以抵御可能利用该漏洞的“易受攻击”恶意软件或高级恶意软件威胁。但是,如果攻击者具有可用于成功进行身份验证的有效凭据,则受影响的系统仍然容易受到远程代码执行(RCE)攻击。出于这些原因,微软强烈建议尽快更新所有受影响的系统,无论NLA是否启用。


五、安全运营建议

高危:目前针对该漏洞的细节分析和利用代码暂未公开,不过攻击者可以通过补丁对比方式分析出漏洞触发点,进而开发漏洞利用代码,建议尽快进行安全更新或做好安全加固配置。


如果不需要开启远程桌面进行系统管理,根据保障安全的最佳做法,可考虑禁用这些服务。禁用不使用和不需要的服务有助于减少出现安全漏洞的可能性。


如果需要开启远程桌面进行系统管理,建议开启系统防火墙或IP安全策略限制来源IP,即只允许指定IP访问;


启用本地安全策略(账户策略-密码策略),建议开启密码必须符合复杂性要求和长度最小值,以及启用账户锁定阀值;


考虑使用双因素身份验证措施,比如启用动态Key方式;


保持系统安全更新补丁为最新状态,远程桌面协议(RDP)为内核服务,安装安全更新补丁后需要重启系统生效;


开启系统日志记录或网络安全设备日志记录对访问该端口的源IP进行记录和存档,以便预警和分析其入侵企图;


考虑在核心交换机部署流量分析设备,发现对RDP端口暴力破解密码的攻击行为,及时对攻击IP做限定访问的策略。


威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量和暴露在网上的端口情况,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后自动植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序达到蠕虫传播,从而影响到系统服务的正常提供。


微软补丁更新建议:微软每月第二周周二会定期发布安全更新补丁,建议企业订阅和关注官方安全更新公告,及时测试补丁或做更新。


本文转载自 安恒应急响应中心


推荐阅读:


▼点击“阅读原文” 查看更多精彩内容


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存