Windows远程代码执行漏洞(CVE-2019-0708)预警

时间 ：  2019年05月15日  来源：  安天CERT

1、概述

---

        2019年5月14日微软官方发布了对远程桌面服务（Remote Desktop Services）的关键远程代码执行漏洞CVE-2019-0708的安全补丁，受影响的Windows系统版本在启用了远程桌面服务时容易遭受远程代码执行攻击。该漏洞不需要用户交互，即该漏洞可以被利用发起蠕虫类攻击，类似WannaCry（魔窟）勒索蠕虫事件。虽然目前没有发现对该漏洞的利用，但之后攻击者很可能将该漏洞利用加入到恶意代码中，就像MS17-010（永恒之蓝）漏洞一样，微软在2017年3月14日发布MS17-010漏洞补丁，2017年5月12日WannaCry（魔窟）利用永恒之蓝漏洞进行传播。

        根据相关数据源统计，目前，全球公共网络中有近300多万计算机开启了3389端口，即未改变端口的远程桌面服务（RDP），对于没有经过配置加固的内网更有大量机器开放相关端口服务。因此，该漏洞既可能造成互联网大面积的蠕虫传播、僵尸网络大面积感染，也能形成内网大面积横向移动攻击能力。

2、漏洞描述

---

        漏洞编号：CVE-2019-0708

        该漏洞允许未经身份验证的攻击者使用远程桌面服务连接到目标系统并发送精心设计过的请求，利用其身份预认证、不需要用户交互确认同意接收连接的缺陷，即可在目标系统上执行任意代码，涵盖但不限于安装程序，查看、更改或删除目标系统内数据，或创建具有完全用户权限的新账户。

        利用此漏洞需要满足以下条件：

        1. 在Windows操作系统启用了Remote Desktop Services远程桌面服务，且未及时安装更新补丁；

        2. 攻击者通过RDP向目标系统远程桌面服务发送精心设计的请求。

3、受影响范围

---

        受影响的Windows操作系统版本：
        Windows XP SP3 x86
        Windows XP 专业 x64 版 SP2
        Windows XP Embedded SP3 x86
        Windows 7 for 32-bit Systems Service Pack 1
        Windows 7 for x64-based Systems Service Pack 1
        Windows Server 2003 SP2 x86
        Windows Server 2003 x64 版本 SP2
        Windows Server 2008 for 32-bit Systems Service Pack 2
        Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
        Windows Server 2008 for Itanium-Based Systems Service Pack 2
        Windows Server 2008 for x64-based Systems Service Pack 2
        Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
        Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
        Windows Server 2008 R2 for x64-based Systems Service Pack 1
        Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
        Windows Embedded POSReady 2009
        Windows Embedded Standard 2009

4、修复及缓解建议

---

        1、尽快安装此漏洞的补丁（即使已经禁用远程桌面服务）[1]。
        2、如果不需要使用远程桌面服务，建议禁用该服务。
        3、在受影响版本的系统上启用网络级身份验证（NLA）；启用NLA后，攻击者需要使用目标系统上的有效账户对远程桌面服务进行身份验证，才能成功利用该漏洞。
        4、 在企业外围或边界防火墙上部署安全策略，阻止TCP端口3389。
        5、 安天智甲终端防御系统与安天资产安全运维系统组合使用，可以充分减少暴露面，形成威胁防御响应的基础框架。

附录一：参考资料

---

[1]  CVE-2019-0708 | Remote Desktop Services Remote Code Execution Vulnerability

        https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
        https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EA
        https://support.microsoft.com/en-us/help/4500331/windows-update-kb4500331

[2]  Acknowledgements: Remote Desktop Services Remote Code Execution Vulnerability(he UK's National Cyber Security Centre (NCSC))
        https://portal.msrc.microsoft.com/en-us/security-guidance/acknowledgments