關于Windows遠程桌面服務遠程代碼執行漏洞CVE-2019-0708利用工具已公開的安全預警

微軟公司在5月14日發布了5月安全補丁更新列表，其中包括被標記為嚴重的Windows遠程桌面服務（RDP）遠程代碼執行漏洞（CVE-2019- 0708）的補丁。利用該漏洞，攻擊者無需身份驗證通過發送特定請求即可在目標系統上執行任意代碼，獲取目標系統的控制權限。海峽信息已于5月15號發布該漏洞安全通告。

9月7日凌晨，有開發者在GitHub上發布了Windows RDP服務遠程代碼執行漏洞（CVE-2019- 0708）的Metasploit利用代碼模塊，隨著利用代碼的發布和傳播，降低了攻擊者攻擊的門檻，類似勒索病毒（如WannaCry）、挖礦、針對性攻擊等安全威脅將不斷增加，已經構成了非常嚴重的安全影響。

因此再次提醒未更新該漏洞補丁的用戶盡快修復漏洞。

【受漏洞影響版本】

? Windows XP

? Windows Server 2003

? Windows 7

? Windows Server 2008

? Windows Server 2008 R2

【漏洞在線檢測】

我司公共服務平臺（http://www.fjssc.cn/poc/）已為該漏洞提供在線檢測，各用戶可檢測互聯網資產是否存在該漏洞。

【漏洞修復措施】

微軟官方已在5月14日發布了CVE-2019- 070的補丁文件（包括已停止更新的Windows XP、Windows server 2003系統）。此漏洞危險程度極高且當前漏洞利用工具已公開，各用戶應高度重視盡快下載相應補丁執行安裝，并重啟操作系統使之生效。

1、漏洞修復須知：

n 修復前做好完善的數據及程序備份并妥善保存，

n 修復報錯時根據提示進行修正，可能的原因有：下載的補丁不適用此版本，系統磁盤空間不夠，更新服務未開啟，報錯需重啟系統再修復，原系統為精簡或系統文件已破壞等；

n 操作系統具體版本，通過 “開始” 按鈕，輸入 winver命令確認；

n 安裝后應重啟操作系統讓補丁生效，重系統重啟前做好應急預案工作；

n 如補丁修復后藍屏，可嘗試原系統安裝盤.iso進行系統修復安裝。

2、各版本系統補丁下載地址：

1)        Windows XP

• 簡體中文版

• http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe

• XP其他（語言）版本

• https://www.catalog.update.microsoft.com/Search.aspx?q=KB4500331%20Windows%20XP

• 【注】系統為XP SP3才能安裝，XP SP2或SP1系統請先升級SP3大版本

2)        Windows Server 2003

• 簡體中文版32位

• http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe

• 簡體中文版64位

• http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe

• 2003其他（語言）版本

• https://www.catalog.update.microsoft.com/Search.aspx?q=KB4500331%20Windows%20server%202003【注】系統為2003 SP2才能安裝，2003 SP1系統請先升級SP2大版本

3)        Windows 7

• 32位

• http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu

• 64位

• http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu【注】系統為Windows 7 SP1才能安裝，Windows 7系統請先升級SP1大版本

4)        Windows Server 2008

• 32位

• http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu

• 64位

• http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu【注】系統為2008 SP2才能安裝，2008 SP1系統請先升級SP2大版本

5)        Windows Server 2008 R2

• http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

• 【注】系統為2008 R2 SP1才能安裝，2008 R2系統請先升級SP1大版本

【漏洞威脅規避措施】

1)      禁止向互聯網開放遠程桌面服務（默認端口：3389），在互聯網邊界防火墻上審核安全策略，阻斷遠程桌面服務的連接。

黑盾防火墻限制遠程桌面3389端口配置步驟參考：

a、基礎策略-對象管理-服務對象，添加遠程桌面3389端口，如下圖所示：

b、基礎策略-訪問控制-過濾規則，添加規則，動作“拒絕”，具體配置如下：

2)      內網服務器如果不需要使用遠程桌面服務，建議禁用該服務；若有需要，建議僅對業務需要的IP開放遠程桌面服務；；

3)      在受影響版本的系統上啟用網絡級身份驗證（NLA）。啟用后，攻擊者需要使用帳戶對遠程桌面服務進行身份驗證，然后才能成功利用此漏洞（使用此方法部分堡壘機可能導致無法遠程登錄，應先進行測試）。

【注】遠程桌面的默認端口為3389，若端口有修改過，可通過下面的命令查看（注意命令輸出的是十六進制）：

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v portnumber 

參考鏈接

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC

更新信息請隨時關注微信公眾號：