Windows远程桌面高危漏洞(CVE-2019-0708)更新预警

释放双眼,带上耳机,听听看~!

雷神众测校园行-杭州站

2019年9月,安恒信息雷神众测受浙江传媒学院邀请,前往学校进行校园行技术交流宣讲活动。本次活动雷神众测有幸邀请到嘉宾大连东软信息学院客座教授侯亮老师,安恒信息雷神众测负责人俞斌,安恒信息水滴实验室的负责人李帅帅一同作为主讲。 本次宣讲会由浙江传

1.安全公告

2019年5月14日,微软发布了5月安全更新补丁,其中包含一个RDP(远程桌面服务)远程代码执行漏洞的补丁更新,对应CVE编号:CVE-2019-0708,相关信息链接:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708


根据公告,该漏洞存在于Windows比较老的版本中,主要包括:Windows 7、Windows Server 2008和更老的Windows XP、Windows Server 2003系统,如果这些系统开启远程桌面服务,默认监听端口TCP 3389,未安全更新容易受到攻击。


根据微软MSRC公告,该漏洞如被恶意利用可能被开发成类似2017年爆发的WannaCry蠕虫型快速自动快速传播病毒,建议及时安装更新补丁,相关信息连接:

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/


2.更新说明

安恒应急响应中心在5月份就发布了相关公告,此后网上公开了一些针对该漏洞的识别扫描代码和能导致拒绝服务的POC代码,具有稳定利用的代码仅在小范围传播,未见公开,最近有人在github上的metasploit-framework漏洞利用框架工具平台,提交了针对64位Windows 7和Windows Server 2008 R2(只有64位)版本利用的EXP代码,利用代码目标指纹包括以下:



对于Windows Server 2008 R2,需要修改注册表项以通过RDPSND通道启用heap grooming进行堆利用,虽然目前版本只有Windows 7和2008 R2,但作者在Todo中已经计划开发针对XP和2003等更多操作系统版本的利用代码,建议及时安装更新补丁。


除了:

Windows 7 x64 (所有SP版本)

Windows 2008 R2 x64 (所有SP版本)

未来这些版本都可能被开发出利用代码:

Windows 2000 x86 (所有SP版本)

Windows XP x86 (所有SP版本)

Windows 2003 x86 (所有SP版本)

Windows 7 x86 (所有SP版本)


利用代码支持的目标:

https://github.com/rapid7/metasploit-framework/pull/12283/files


3. 影响版本

RDP漏洞(CVE-2019-0708)影响Windows Server 2008 R2以前版本,Windows XP、Windows Server 2003微软本来已不再公开提供安全更新补丁,但基于漏洞的严重性,微软此次例外提供了XP和2003的补丁更新,受影响的系统列表如下:

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

雷神众测校园行-大连站

自从雷神众测校园行-杭州站后,雷神众测与大连东软信息学院一直保持着良好沟通,9月22日,雷神众测接到学校邀请,前往大连,开启雷神众测校园行宣讲会第二站—大连站。 此次校园行,雷神众测来到了大连东软信息学院,与学生们来了一场思维的学习与碰撞,雷神

Windows XP SP3 x86

Windows XP Professional x64 Edition SP2

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 x64 Edition SP2


Windows 7、Windows Server 2008补丁下载:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708


Windows XP、Windows Server 2003补丁下载:

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708


运行Windows 8和Windows 10的用户不受此漏洞的影响。对于启用了网络级身份验证(NLA)的受影响系统可以部分缓解。由于NLA在触发漏洞之前需要身份验证,因此受影响的系统可以抵御可能利用该漏洞的“易受攻击”恶意软件或高级恶意软件威胁。但是,如果攻击者具有可用于成功进行身份验证的有效凭据,则受影响的系统仍然容易受到远程代码执行(RCE)攻击。出于这些原因,微软强烈建议尽快更新所有受影响的系统,无论NLA是否启用。


4. 影响范围

通过安恒研究院SUMAP平台对全球开启了远程桌面协议(RDP)的TCP 3389端口的资产统计,最新查询分布情况如下:



通过安恒研究院SUMAP平台对国内开启了远程桌面协议(RDP)的TCP 3389端口的资产统计,最新查询分布情况如下:



5.缓解措施

紧急:目前针对该漏洞的细节分析和利用代码都已公开,建议还未跟新补丁和采取加固措施的主机尽快进行安全更新或做好安全加固配置。


针对RDP的安全运营建议:

如果需要开启远程桌面进行系统管理,建议开启系统防火墙或IP安全策略限制来源IP,即只允许指定IP访问;

启用本地安全策略(账户策略-密码策略),建议开启密码必须符合复杂性要求和长度最小值,以及启用账户锁定阀值;

考虑使用双因素身份验证措施,比如启用动态Key方式;

保持系统安全更新补丁为最新状态,远程桌面协议(RDP)为内核服务,安装安全更新补丁后需要重启系统生效;

开启系统日志记录或网络安全设备日志记录对访问该端口的源IP进行记录和存档,以便公告和分析其入侵企图;

考虑在核心交换机部署流量分析设备,发现对RDP端口暴力破解密码的攻击行为,及时对攻击IP做限定访问的策略。


威胁推演:此漏洞为远程代码执行漏洞,基于全球使用该产品用户的数量和暴露在网上的端口情况,恶意攻击者可能会开发针对该漏洞的自动化攻击程序,实现漏洞利用成功后自动植入后门程序,并进一步释放矿工程序或是DDOS僵尸木马等恶意程序达到蠕虫传播,从而影响到系统服务的正常提供。


微软补丁更新建议:微软每月第二周周二会定期发布安全更新补丁,建议企业订阅和关注官方安全更新公告,及时测试补丁或做更新。

本文源自微信公众号:雷神众测

招聘来啦(转发送福利)

招聘启事 还在执着于寻找纯技术岗而到处寻觅工作吗?还在为公司没有技术氛围,只身一人苦苦硬撑吗?安恒红队招收安全研究员啦~^_^ 在这里,我们研究最前沿的网络安全技术,使用最新的研究成果完成超高难度的安全测试,在这里,大家将自己最新的研究成果相互分

人已赞赏
安全工具

近期需要知道的9大疑似漏洞

2019-10-14 14:32:55

安全工具

雷神众测校园行-杭州站

2019-10-14 14:33:02

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索