还记得被WannaCry永恒之蓝支配的恐惧么? 这次来了个更强的

前言

2017年的永恒之蓝横扫全球,用血一般的教训告诉企业及时修复漏洞的必要性。要知道在永恒之蓝爆发之前微软也是早早的释放出了修复补丁,但是鉴于多数操作系统关闭漏洞升级平台的策略,导致无法及时修复漏洞。

标题很夸张,但是希望大家引起重视,让每一次安全事件都是一场虚惊

介绍

漏洞编号: CVE-2019-0708

2019年5月14日微软官方发布安全补丁,修复了Windows远程桌面服务的远程代码执行漏洞,该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,其方式与2017年WannaCry恶意软(永恒之蓝)件的传播方式类似。

通过此漏洞,攻击者无需经过身份验证,只需要使用RDP连接到目标系统并发送特制请求,就可以在目标系统上远程执行代码,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户,可以做自己想做的任何事。

和永恒之蓝一样,这次的漏洞同样是无需用户交互的,同时永恒之蓝只是针对445端口,这个端口对外网是不开放的,大多应用于内网应用共享文件系统,但这次的漏洞涉及到 远程桌面服务 的 3389 端口,几乎绝大多数企业级Windows系统都会考虑开放远程桌面服务进行运维。

利用此漏洞需要满足以下条件:

  1. 在Windows操作系统启用了Remote Desktop Services远程桌面服务,且未及时安装更新补丁;

  2. 攻击者通过RDP向目标系统远程桌面服务发送精心设计的请求。

影响范围

受影响的Windows操作系统版本:

Windows XP SP3 x86

Windows XP 专业 x64 版 SP2

Windows XP Embedded SP3 x86

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2003 SP2 x86

Windows Server 2003 x64 版本 SP2

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Embedded POSReady 2009

Windows Embedded Standard 2009

部分使用 xrdp 协议的 Linux 设备也有可能存在相关漏洞,建议条件允许对 xrdp 进行升级。

通过安恒研究院SUMAP平台对全球开启了远程桌面协议(RDP)的TCP 3389端口的资产统计,最新查询分布情况如下:

通过安恒研究院SUMAP平台对国内开启了远程桌面协议(RDP)的TCP 3389端口的资产统计,最新查询分布情况如下:

影响范围

  1. 尽快安装此漏洞的补丁(即使已经禁用远程桌面服务)。
  2. 如果不需要使用远程桌面服务,建议禁用该服务。
  3. 在受影响版本的系统上启用网络级身份验证(NLA);启用NLA后,攻击者需要使用目标系统上的有效账户对远程桌面服务进行身份验证,才能成功利用该漏洞。
  4. 在企业外围或边界防火墙上部署安全策略,阻止TCP端口3389。
  5. 由于 Win7 和 Server 2008 系统在 Windows 系统中存在广泛性,特别是 Server 因此规模不容小觑。

解决方案

目前,微软已经发布针对该漏洞的补丁,请使用上述受影响的操作系统用户及时更新。

远程桌面协议(RDP)为内核服务,安装安全更新补丁后需要重启系统生效。

针对Windows XP、Windows 2003系统的补丁:

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

针对Windows 7、Windows Server 2008 R2、Windows Server 2008系统的补丁:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708

缓解措施

一、如暂时无法更新补丁,可以通过在系统上启用网络及身份认证(NLA)以暂时规避该漏洞影响,此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2。

你可以启用网络级身份验证以阻止未经身份验证的攻击者利用此漏洞。启用 NLA 后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。

二、 通过网络防火墙拒绝TCP端口3389的连接,或对相关服务器做访问来源过滤,只允许可信IP连接。

三、修改RDP服务默认的3389端口号,改为非标准端口。

四、若用户不需要用到远程桌面服务,建议禁用远程桌面服务。

0x04 参考链接

  1. https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
  2. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708