【漏洞预警】Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)

2019年5月14日，Microsoft在最新的安全更新公告中披露了一则RDP远程代码执行漏洞。通过此漏洞，攻击者无需经过身份验证，只需要使用RDP连接到目标系统并发送特制请求，就可以在目标系统上远程执行代码。

漏洞名称：Remote Desktop Protocol任意代码执行漏洞

威胁等级：严重

影响范围：Windows XP;Windows 7 ;Windows Server 2003;Windows Server 2008;Windows Server 2008 R2

漏洞类型：任意代码执行漏洞

利用难度：容易

千里百科 - Remote Desktop Protocol组件介绍

Remote Desktop Protocol(远程桌面协议，RDP)是微软公司创建的专有协议。它允许系统用户通过图形用户界面连接到远程系统。在默认情况下，该协议的客户端代理内置在微软的操作系统中，也可以安装在非微软操作系统中。RDP的服务器端安装在微软操作系统中，从客户端代理接收请求，显示发布应用程序的图形界面或者远程访问系统本身。默认情况下，系统在3389端口来监听来自客户端的通过RDP的连接请求。
通常情况下，在企业中，RDP或者终端服务会话被配置在需要分布式客户端机器来连接的服务器上。它可以用于管理、远程访问或者发布用于中央使用的应用程序。该协议还常被桌面管理员来远程访问用户系统，以协助排除故障。如果RDP没有正确配置或存在漏洞，这种特定功能将会给企业带来威胁，因为未授权访问者将可以访问关键企业系统。

漏洞分析

cve-2019-0708，属于远程代码执行漏洞，当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时，即可以触发该漏洞。此漏洞属于预身份验证，无需用户交互，成功利用此漏洞的攻击者可以安装应用程序，查看、更改或删除数据或创建具有完全用户权限的新账户。

恶意攻击者还很有可能利用该漏洞专门编写恶意代码到定制的恶意软件， 利用此漏洞的任何未来恶意软件都可能以与 2017年WannaCry恶意软件遍布全球的类似方式从易受攻击的计算机传播到易受攻击的计算机  。

影响范围

到目前为止，在全球范围内对互联网开发RDP的资产数量已经多达1250万，其中美国地区对外开发的RDP数量排名第一，为341万台。排名第二与第三的分别是中国和德国，其中中国数量远远超过德国的数量。

(统计数据仅为对互联网开放的资产，本数据来源于FOFA。)
图1  RDP全球范围内情况分布

由以上数据统计看来，国内使用RDP的使用基数很高，用户相当广泛，在国内，RDP使用量最高的三个省市是北京，浙江以及广东，在北京的使用量最高，数量达864982台，在浙江省的使用量也达57万以上，广东省的使用量达27万，所以对此次RDP的漏洞防范尤为重要。

(统计数据仅为对互联网开放的资产，本数据来源于FOFA。)
图2  RDP国内使用情况分布

目前受影响的Windows版本：
Microsoft Windows XP 0
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2003 0
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 7 for 32-bit Systems SP1

修复建议

1. 及时安装微软发布的安全更新补丁：
Microsoft官方已经在 2019年5月14日修复了该漏洞，用户可以通过安装微软的安全更新来给系统打上安全补丁，下载地址为：
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

以及为已不受微软更新支持的系统Windows Server 2003和Windows XP提供的安全更新，下载地址为:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

2. 缓解措施（在无法及时安装微软安全更新的情况下作为临时性解决方案）：
-    若用户不需要用到远程桌面服务，建议禁用该服务。
- 开启网络级别身份验证（NLA），此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2。
-    暂时性修改RDP的连接端口，默认端口为3389。
-    使用ACL对RDP的访问来源进行限制。
-    使用RDP网关，网关的功能是安全的将流量从远程客户端传递到本地设备。使用RDP网关可以防止或最小化远程用户访问，并使组织能够更好的控制用户角色，访问权限和身份验证需求。
以上缓解措施只能暂时性针对该漏洞对系统进行部分缓解，强烈建议在条件允许的情况下及时安装微软安全更新。

某公司解决方案

该漏洞尚未公开此攻击细节，某公司千里目安全实验室将持续关注此次漏洞进展，最快速度给出完整的解决方案。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

时间轴

2019/05/14  

Microsoft发布安全更新公告并披露漏洞

2019/05/15

某公司千里目安全实验室翻译并发布漏洞预警