CVE-2019-0708 | 远程桌面服务远程执行代码漏洞
2019-05-172019年5月15日,微软发布了针对远程桌面服务(以前称为终端服务)的关键远程执行代码漏洞CVE-2019-0708的修复程序,该漏洞影响了某些旧版本的Windows。远程桌面协议(RDP)本身不容易受到攻击。此漏洞是预身份验证,无需用户交互。换句话说,该漏洞是“可传播的”,这意味着任何利用该漏洞的恶意软件都可能从受影响的计算机传播到受影响的计算机,就像2017年WannaCry恶意软件在全球蔓延一样。虽然我们观察到没有人在利用此漏洞,但黑客极有可能为此漏洞编写一个利用程序,并将其合并到他们的恶意软件中。
要利用此漏洞,攻击者需要通过RDP向目标系统远程桌面服务发送特制请求。
此次更新通过更正远程桌面服务处理连接请求的方式来解决漏洞。
影响范围
受影响的并且还在提供支持的系统包括Windows 7、Windows Server 2008 R2和Windows Server 2008。Windows提供支持的版本的下载可以在微软安全更新指南中找到。使用受影响版本的Windows并且开启了自动更新系统的用户会自动受到保护。
已经不提供支持的系统包括Windows 2003和Windows XP。如果您使用的是不支持的版本,解决此漏洞的最佳方法是升级到最新版本的Windows。尽管如此,我们还是对KB4500705中这些不提供支持Windows的版本进行了修复。
运行Windows 8和Windows 10的用户不会受到此漏洞的影响,而Windows的后续版本也不会受到影响。微软在加强其产品的安全性方面投入了大量资金,通常是通过重大的架构改进,而这些改进是不可能移植到Windows的早期版本的。
缓解措施
在启用了网络级身份验证(NLA)的受影响系统上,有部分缓解措施。
1.如果不需要,请禁用远程桌面服务。
如果您的系统不再需要这些服务,请考虑禁用它们。禁用未使用和不需要的服务有助于减少您的安全漏洞风险。
2.在运行Windows 7,Windows Server 2008和Windows Server 2008 R2的提供支持版本的系统上启用网络级别身份验证(NLA)
您可以启用网络级别身份验证,以阻止未经身份验证的攻击者利用此漏洞。启用NLA后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。
安全建议
注:以下补丁修复方案均存在不可预知风险(黑屏或死机),建议修复前先备份数据/镜像
1、针对Windows 7、Windows Server 2008和Windows Server 2008 R2的用户,及时安装官方安全补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
2、针对Windows 2003及Windows XP的用户,及时更新系统版本或安装官方补丁:https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
