新闻中心
当前位置: 首页 > 企业动态 > 【漏洞预警】Remote Desktop Protocol任意代码执行漏洞
【漏洞预警】Remote Desktop Protocol任意代码执行漏洞
发表者:admin  发表日期:2019-05-21
 

广东省网络安全应急响应平台第一时间跟进Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)并保持关注,有更多细节和进展会随时通报。目前,微软针对此漏洞已经发布了安全补丁(包括旧操作系统),强烈建议用户立即安装相应的补丁以避免受到相关威胁。

2019514日,Microsoft在最新的安全更新公告中披露了一则RDP远程代码执行漏洞。通过此漏洞,攻击者无需经过身份验证,只需要使用RDP连接到目标系统并发送特制请求,就可以在目标系统上远程执行代码。

漏洞名称Remote Desktop Protocol任意代码执行漏洞

威胁等级严重

影响范围Windows XP;Windows 7 ;Windows Server 2003;Windows Server 2008;Windows Server 2008 R2

漏洞类型:任意代码执行漏洞

利用难度:容易

千里百科 - Remote Desktop Protocol组件介绍

Remote Desktop Protocol(远程桌面协议,RDP)是微软公司创建的专有协议。它允许系统用户通过图形用户界面连接到远程系统。在默认情况下,该协议的客户端代理内置在微软的操作系统中,也可以安装在非微软操作系统中。RDP的服务器端安装在微软操作系统中,从客户端代理接收请求,显示发布应用程序的图形界面或者远程访问系统本身。默认情况下,系统在3389端口来监听来自客户端的通过RDP的连接请求。

通常情况下,在企业中,RDP或者终端服务会话被配置在需要分布式客户端机器来连接的服务器上。它可以用于管理、远程访问或者发布用于中央使用的应用程序。该协议还常被桌面管理员来远程访问用户系统,以协助排除故障。如果RDP没有正确配置或存在漏洞,这种特定功能将会给企业带来威胁,因为未授权访问者将可以访问关键企业系统。

漏洞分析

cve-2019-0708,属于远程代码执行漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,即可以触发该漏洞。此漏洞属于预身份验证,无需用户交互,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户。

恶意攻击者还很有可能利用该漏洞专门编写恶意代码到定制的恶意软件, 利用此漏洞的任何未来恶意软件都可能以与 2017WannaCry恶意软件遍布全球的类似方式从易受攻击的计算机传播到易受攻击的计算机  

影响范围

到目前为止,在全球范围内对互联网开发RDP的资产数量已经多达1250万,其中美国地区对外开发的RDP数量排名第一,为341万台。排名第二与第三的分别是中国和德国,其中中国数量远远超过德国的数量。

目前受影响的Windows版本:
Microsoft Windows XP 0
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2003 0
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 7 for 32-bit Systems SP1

修复建议


1. 
及时安装微软发布的安全更新补丁:
Microsoft
官方已经在 2019514日修复了该漏洞,用户可以通过安装微软的安全更新来给系统打上安全补丁,下载地址为:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

以及为已不受微软更新支持的系统Windows Server 2003Windows XP提供的安全更新,下载地址为:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708


2.
缓解措施(在无法及时安装微软安全更新的情况下作为临时性解决方案):
-    
若用户不需要用到远程桌面服务,建议禁用该服务。
-
开启网络级别身份验证(NLA),此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2
-    
暂时性修改RDP的连接端口,默认端口为3389
-    
使用ACLRDP的访问来源进行限制。
-    
使用RDP网关,网关的功能是安全的将流量从远程客户端传递到本地设备。使用RDP网关可以防止或最小化远程用户访问,并使组织能够更好的控制用户角色,访问权限和身份验证需求。
以上缓解措施只能暂时性针对该漏洞对系统进行部分缓解,强烈建议在条件允许的情况下及时安装微软安全更新。

参考链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708