×

【漏洞预警】Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)
  

SANGFOR_智安全 3280

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-5-21 19:06 编辑

2019年5月14日,Microsoft在最新的安全更新公告中披露了一则RDP远程代码执行漏洞。通过此漏洞,攻击者无需经过身份验证,只需要使用RDP连接到目标系统并发送特制请求,就可以在目标系统上远程执行代码。

漏洞名称:Remote Desktop Protocol任意代码执行漏洞
威胁等级:严重
影响范围:Windows XP;Windows 7 ;Windows Server 2003;Windows Server 2008;Windows Server 2008 R2
漏洞类型:任意代码执行漏洞
利用难度:容易


千里百科 - Remote Desktop Protocol组件介绍

Remote Desktop Protocol(远程桌面协议,RDP)是微软公司创建的专有协议。它允许系统用户通过图形用户界面连接到远程系统。在默认情况下,该协议的客户端代理内置在微软的操作系统中,也可以安装在非微软操作系统中。RDP的服务器端安装在微软操作系统中,从客户端代理接收请求,显示发布应用程序的图形界面或者远程访问系统本身。默认情况下,系统在3389端口来监听来自客户端的通过RDP的连接请求。
通常情况下,在企业中,RDP或者终端服务会话被配置在需要分布式客户端机器来连接的服务器上。它可以用于管理、远程访问或者发布用于中央使用的应用程序。该协议还常被桌面管理员来远程访问用户系统,以协助排除故障。如果RDP没有正确配置或存在漏洞,这种特定功能将会给企业带来威胁,因为未授权访问者将可以访问关键企业系统。


漏洞分析

cve-2019-0708,属于远程代码执行漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,即可以触发该漏洞。此漏洞属于预身份验证,无需用户交互,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户。

恶意攻击者还很有可能利用该漏洞专门编写恶意代码到定制的恶意软件, 利用此漏洞的任何未来恶意软件都可能以与 2017年WannaCry恶意软件遍布全球的类似方式从易受攻击的计算机传播到易受攻击的计算机  。


影响范围

到目前为止,在全球范围内对互联网开发RDP的资产数量已经多达1250万,其中美国地区对外开发的RDP数量排名第一,为341万台。排名第二与第三的分别是中国和德国,其中中国数量远远超过德国的数量。

(统计数据仅为对互联网开放的资产,本数据来源于FOFA。)
图1  RDP全球范围内情况分布

由以上数据统计看来,国内使用RDP的使用基数很高,用户相当广泛,在国内,RDP使用量最高的三个省市是北京,浙江以及广东,在北京的使用量最高,数量达864982台,在浙江省的使用量也达57万以上,广东省的使用量达27万,所以对此次RDP的漏洞防范尤为重要。

(统计数据仅为对互联网开放的资产,本数据来源于FOFA。)
图2  RDP国内使用情况分布


目前受影响的Windows版本:
Microsoft Windows XP 0
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2003 0
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 7 for 32-bit Systems SP1




修复建议
1. 及时安装微软发布的安全更新补丁:
Microsoft官方已经在 2019年5月14日修复了该漏洞,用户可以通过安装微软的安全更新来给系统打上安全补丁,下载地址为:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

以及为已不受微软更新支持的系统Windows Server 2003和Windows XP提供的安全更新,下载地址为:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

2. 缓解措施(在无法及时安装微软安全更新的情况下作为临时性解决方案):
-    若用户不需要用到远程桌面服务,建议禁用该服务。
- 开启网络级别身份验证(NLA),此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2。
-    暂时性修改RDP的连接端口,默认端口为3389。
-    使用ACL对RDP的访问来源进行限制。
-    使用RDP网关,网关的功能是安全的将流量从远程客户端传递到本地设备。使用RDP网关可以防止或最小化远程用户访问,并使组织能够更好的控制用户角色,访问权限和身份验证需求。
以上缓解措施只能暂时性针对该漏洞对系统进行部分缓解,强烈建议在条件允许的情况下及时安装微软安全更新。

某公司解决方案

该漏洞尚未公开此攻击细节,某公司千里目安全实验室将持续关注此次漏洞进展,最快速度给出完整的解决方案。


参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708



时间轴

2019/05/14  
Microsoft发布安全更新公告并披露漏洞
2019/05/15
某公司千里目安全实验室翻译并发布漏洞预警

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人