中新網安安全研究院CVE-2019-0708 Windows RDP 漏洞利用發布，已經構成了蠕蟲級的攻擊威脅 - 中新網安－中新網絡信息安全股份有限公司

<span id="i4ohe"><kbd id="i4ohe"></kbd></span>

<table id="i4ohe"><ruby id="i4ohe"></ruby></table><td id="i4ohe"></td>

<p id="i4ohe"></p>

首頁 > 安全研究 > 安全報告

中新網安安全研究院CVE-2019-0708 Windows RDP 漏洞利用發布，已經構成了蠕蟲級的攻擊威脅

2019年5月14日，微軟官方在例行補丁日發布編號為CVE-2019-0708的漏洞公告，攻擊者利用該漏洞可能可以直接獲取Windows服務器權限，對目標系統執行任意代碼。中新網安將對該漏洞進行持續關注，并第一時間為您更新相關漏洞信息。

【漏洞編號】CVE-2019-0708

【漏洞名稱】Windows RDP遠程代碼執行高危漏洞

【漏洞評級】嚴重

【影響版本】

【威脅描述】

該漏洞影響了某些舊版本的Windows系統。此漏洞是身份驗證，無需用戶交互。遠程桌面服務（以前稱為終端服務）中存在遠程執行代碼漏洞，當未經身份驗證的攻擊者使用RDP（常見端口3389）連接到目標系統并發送特制請求時。利用此漏洞的攻擊者可以在目標系統上執行任意代碼；可以安裝程序; 查看、更改、刪除數據或創建具有完全控制權限的新帳戶。要利用此漏洞，攻擊者需要通過RDP向目標系統遠程桌面服務發送特制請求。

【POC驗證】

2019年5月31日檢測到github上有人發布了可導致遠程拒絕服務的POC代碼

(https://github.com/n1xbyte/CVE-2019-0708）

針對windows 7 x64的經驗證POC代碼真實有效。

$32@OX_5{QPLNMC8@CVFPA)1.png$

%WP%ZII%Y`6X2}9NJB2N`NF.png

攻擊者可能會使用傳播該代碼對系統進行遠程拒絕服務攻擊或者修改該代碼使其達到遠程代碼執行的效果。

2019年9月7日，metasploit-framework倉庫公開發布了CVE-2019-0708的利用模塊，漏洞利用工具已經開始擴散，已經構成了蠕蟲級的攻擊威脅。

【應對措施】

1. 通過windows系統自動升級功能或者手工下載安裝補丁。補丁下載鏈接如下：

Windows 7 或 Windows Server 2008：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Windows XP 或 Windows Server 2003：

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

2. 開啟網絡級身份驗證(NLA) 模式：

NLA要求的身份驗證在漏洞觸發之前，所以受影響的系統可以利用NLA防御此漏洞的“蠕蟲”惡意軟件或高級惡意軟件威脅。但如果攻擊者擁有可用于成功進行身份驗證的有效憑證，則受影響的四通仍會受到遠程代碼執行的攻擊。

3. 無需要使用遠程桌面的系統，應該禁用遠程桌面服務。

1） Windows 2003 系統關閉遠程桌面:

1. 打開控制面板->系統->遠程>去掉‘啟用遠程這臺計算機上的遠程桌面’的對勾 ->應用->確定

2.打開控制面板->windows防火墻->常規->啟用->服務->去掉遠程桌面對勾->確定

2） Windows 2008 系統關閉遠程桌面:

1. 打開控制面板->系統和安全->允許遠程訪問->不允許連接到這臺計算機->應用->確定。

2.打開控制面板->系統和安全->安全工具->服務->禁用->停止->應用->確定。