北京时间5月15日,微软官方发布了5月安全更新补丁,此次更新共修复了82个漏洞,其中Windows操作系统远程桌面服务漏洞(CVE-2019-0708)威胁程度较高,攻击者可通过RDP协议向目标发送恶意构造请求,实现远程代码执行,甚至可利用此漏洞实现蠕虫式攻击。
漏洞概述
远程桌面协议(RDP)本身不易受攻击,此漏洞是预身份验证,不需要用户交互,这意味着任何利用该漏洞的未来恶意软件都可能以类似于2017年在全球传播的Wannacry恶意软件的方式从易受攻击的计算机传播到易受攻击的计算机,虽然目前我们没有发现该漏洞被利用,但恶意攻击者很可能会针对该漏洞编写一个漏洞利用程序并将其合并到恶意软件中。现在重要的是尽快修补受影响的系统,以防止这种情况发生。 为了解决这个安全问题,此次微软为所有客户提供了安全更新,以保护Windows平台,另外还提供了一些不支持的Windows版本(Windows 2003和Windows XP)的安全更新,所以也体现了这个安全问题的严重性。
漏洞危害
攻击者可通过RDP协议向目标发送恶意构造请求,实现远程代码执行,甚至可利用此漏洞实现蠕虫式攻击。鉴于此漏洞的威胁程度较高,针对已经停止维护的Windows版本微软也发布了安全补丁,目前官方暂未公开漏洞细节,建议受影响用户尽快安装补丁进行更新,修复此漏洞。
受影响版本
Windows 7
Windows Server 2008 R2
Windows Server 2008
Windows Server 2003(已停止维护)
Windows XP(已停止维护)
不受影响版本
Windows 8
Windows 10
修复建议
一、官方补丁 微软官方已经发布更新补丁(包括官方停止维护版本),请用户及时进行补丁更新。获得并安装补丁的方式有三种:内网WSUS服务、微软官网Microsoft Update服务、离线安装补丁。 注:如果需要立即启动Windows Update更新,可以在命令提示符下键入wuauclt.exe /detectnow。
方式一:内网WSUS服务。适用对象:已加入搭建有WSUS服务器内网活动目录域的计算机,或手工设置了访问内网WSUS服务。 系统会定时自动下载所需的安全补丁并提示安装,请按提示进行安装和重启系统。 如果希望尽快安装补丁,请重新启动一次计算机即可。
方式二: 微软官网Microsoft Update服务。适用对象:所有可以联网,不能使用内网WSUS服务的计算机,包括未启用内网WSUS服务的计算机、启用了内网WSUS服务但未与内网连接的计算机。 未启用内网WSUS服务的计算机,请确保Windows自动更新启用,按照提示安装补丁并重启计算机。 启用内网WSUS服务的计算机但没有与内网连接的计算机,请点击开始菜单-所有程序-Windows Update,点击“在线检查来自Windows Update的更新”,按提示进行操作。
方式三: 离线安装补丁。下载对应的补丁安装包,双击运行即可进行修复,下载链接可参考本文“三、参考链接”。
二、临时解决建议 若用户暂不方便安装补丁更新,可采取下列临时防护措施,对此漏洞进行防护。 1、 若用户不需要用到远程桌面服务,建议禁用该服务。 2、 在主机防火墙中对远程桌面TCP 端口(默认为 3389)进行阻断。 3、 启用网络级认证(NLA),此方案适用于Windows 7, Windows Server 2008, and Windows Server 2008 R2。
三、参考链接 https://support.microsoft.com/en-ca/help/4500705/customer-guidance-for-cve-2019-0708https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708