全国统一服务电话: +86-027-87170075
新闻资讯

新闻资讯

新闻资讯

您当前位置:首页 > 新闻资讯 > 远程桌面服务远程执行代码漏洞

远程桌面服务远程执行代码漏洞

发布时间:2019-05-17 14:51

5月14日微软发布涉及众多Windows版本的远程溢出漏洞补丁,该漏洞是一个存在于远程桌面服务中的高危远程代码执行漏洞(CVE-2019-0708),效果与永恒之蓝漏洞基本等同。请各位抓紧安装修复补丁,谨防遭受勒索病毒攻击。 

受影响的windows版本 
Windows7 
Windows Server 2008 R2 
Windows Server 2008 
Windows Server 2003 
Windows XP 

不受影响的版本 
Windows 8 
Windows 10 

漏洞摘要

当未经身份验证的攻击者使用 RDP 连接到目标系统并发送经特殊设计的请求时,远程桌面服务(以前称为“终端服务”)中存在远程执行代码漏洞。此漏洞是预身份验证,无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 

缓解

以下缓解措施在你遇到的情形中可能会有所帮助。在所有情况下,即使你计划禁用远程桌面服务,Microsoft 也强烈建议你尽快安装此漏洞的更新:

1.禁用远程桌面服务(如果不需要)。

如果系统不再需要这些服务,根据保障安全的最佳做法,可考虑禁用这些服务。禁用不使用和不需要的服务有助于减少出现安全漏洞的可能性。

变通方法

以下变通办法在你遇到的情形中可能会有所帮助。在所有情况下,即使你计划保留这些变通办法,Microsoft 也强烈建议你尽快安装此漏洞的更新:

1.在运行受支持版本的 Windows 7、Windows Server 2008 和 Windows Server 2008 R2 的系统上启用网络级身份验证 (NLA)

你可以启用网络级身份验证以阻止未经身份验证的攻击者利用此漏洞。启用 NLA 后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。

2.在企业边界防火墙处阻止 TCP 端口 3389

TCP 端口 3389 用于启动与受影响组件的连接。在网络边界防火墙处阻止此端口将有助于防止位于防火墙后面的系统尝试利用此漏洞。这有助于防止网络遭受来自企业边界之外的攻击。在企业边界阻止受影响的端口是帮助避免基于 Internet 的攻击的最佳防御措施。然而,系统仍然可能容易受到来自其企业边界内的攻击

详细信息

  • 微软五月补丁信息

https://portal.msrc.microsoft.com/zh-cn/security-guidance/releasenotedetail/e5989c8b-7046-e911-a98e-000d3a33a34d

  • 微软CVE-2019-0708安全公告页面

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-0708

  • 仅对CVE-2019-0708进行安全更新

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175