1 漏洞概況

江民赤豹網(wǎng)絡(luò)安全實(shí)驗(yàn)室監(jiān)測(cè)到，2019年9月7日晚上凌晨1點(diǎn)，Metaspolit上更新了CVE-2019-0708漏洞的利用代碼。江民研究人員對(duì)公布的漏洞利用代碼進(jìn)行了驗(yàn)證，攻擊者利用RDP協(xié)議的漏洞可以在無(wú)交互的情況下遠(yuǎn)程執(zhí)行任意代碼，這意味漏洞如果被攻擊者利用，主機(jī)將處于不設(shè)防狀態(tài)，可能發(fā)生WannaCry 永恒之藍(lán)漏洞一樣大規(guī)模的感染。這個(gè)漏洞是今年來(lái)說(shuō)危害嚴(yán)重性最大的漏洞，危害性堪比“5.12 WannaCry”。

目前該漏洞利用代碼只適用于64位版本的Windows 7和Windows 2008 R2，由于該漏洞是一個(gè)UAF漏洞，在利用過(guò)程中使用了Heap Grooming技術(shù)，目前公布的漏洞利用代碼還并非完美，漏洞利用過(guò)程中有一定幾率使目標(biāo)主機(jī)藍(lán)屏，且在Windows 2008 R2系統(tǒng)上還需要修改注冊(cè)表選項(xiàng)才能使得該漏洞利用代碼有效。

 

該漏洞首次發(fā)現(xiàn)于2019年5月14日，微軟已經(jīng)在官方發(fā)布了安全補(bǔ)丁，因?yàn)榇寺┒词穷A(yù)身份驗(yàn)證且無(wú)需用戶交互，這也就意味著這個(gè)漏洞可以通過(guò)網(wǎng)絡(luò)蠕蟲的方式被利用。利用此漏洞的任何惡意軟件都可能從被感染的計(jì)算機(jī)傳播到其他易受攻擊的計(jì)算機(jī)，隨著漏洞利用代碼的公開發(fā)布，惡意攻擊者可能利用該漏洞編寫惡意軟件，利用此漏洞進(jìn)行惡意軟件傳播，其方式與2017年WannaCry惡意軟件的傳播方式類似，江民赤豹網(wǎng)絡(luò)安全實(shí)驗(yàn)室提醒廣大用戶及時(shí)更新該漏洞補(bǔ)丁，防止惡意攻擊者利用該漏洞對(duì)主機(jī)進(jìn)行勒索、挖礦等惡意行為。

2 漏洞介紹

威脅類型：遠(yuǎn)程執(zhí)行代碼漏洞

威脅等級(jí)：高

漏洞名稱：CVE-2019-0708

受影響系統(tǒng)版本：

Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows XP SP3 x86
Windows XP Professional x64 Edition SP2
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64 Edition SP2

Windows 8和Windows 10及之后版本

補(bǔ)丁下載地址：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4500331

https://www.catalog.update.microsoft.com/Search.aspx?q=kb4499175

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499180

3 漏洞危害

根據(jù)編號(hào)為CVE-2019-0708的安全公告，微軟表示這個(gè)問(wèn)題并非出在RDP協(xié)議上，而是在Remote Desktop Service（遠(yuǎn)程桌面服務(wù)）中。黑客可以通過(guò)Remote Desktop Service（遠(yuǎn)程桌面服務(wù)）向目標(biāo)設(shè)備發(fā)送特制的請(qǐng)求，這個(gè)漏洞是預(yù)身份認(rèn)證且不需要用戶交互的，可以在不需要用戶干預(yù)的情況下遠(yuǎn)程執(zhí)行任意代碼，最終可能會(huì)像野火一樣蔓延至整個(gè)網(wǎng)絡(luò)。任何利用這個(gè)漏洞的惡意程序都可以像2017年WannaCry一樣在全球范圍內(nèi)傳播，大面積感染設(shè)備。

4 解決方案

1、及時(shí)安裝微軟發(fā)布的安全更新補(bǔ)丁：

對(duì)于Windows 7及Windows Server 2008的用戶，及時(shí)安裝Windows發(fā)布的安全更新;對(duì)于Windows 2003及Windows XP的用戶，及時(shí)更新系統(tǒng)版本。

2、臨時(shí)解決方案：

(1) 若用戶不需要用到遠(yuǎn)程桌面服務(wù)，建議禁用該服務(wù)；

(2) 開啟系統(tǒng)防火墻或IP安全策略限制來(lái)源IP，即只允許指定IP訪問(wèn)3389端口;

(3) 在Windows 7, Windows Server 2008, and Windows Server 2008 R2 上啟用網(wǎng)絡(luò)身份認(rèn)證（NLA）。