CVE-2019-0708 | 远程桌面服务远程执行代码漏洞 - 易维网

CVE-2019-0708 | 远程桌面服务远程执行代码漏洞

分类:随笔(Essays) ; 热度:1477 ; 最后更新于2019 年 05 月 15 日

tohnnystohnnys

当未经身份验证的攻击者使用 RDP 连接到目标系统并发送经特殊设计的请求时,远程桌面服务(以前称为“终端服务”)中存在远程执行代码漏洞。此漏洞是预身份验证,无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

若要利用此漏洞,攻击者需要通过 RDP 向目标系统远程桌面服务发送经特殊设计的请求。

此安全更新通过更正远程桌面服务处理连接请求的方式来修复此漏洞。

用于基于 x64 的系统的 Windows Server 2003 安全更新程序 (KB4500331) Windows Server 2003,Windows Server 2003, Datacenter Edition
适用于 XPe 的 Windows XP SP3 的安全更新 (KB4500331) Windows XP Embedded
Windows Server 2003 安全更新程序 (KB4500331) Windows Server 2003,Windows Server 2003, Datacenter Edition
2019-05,适用于 WES09 和 POSReady 2009 的安全更新,适合基于 x86 的系统 (KB4500331) Windows XP Embedded
Security Update for Windows XP SP2 for x64-based Systems (KB4500331) Windows XP 64-Bit Edition Version 2003
Windows XP SP3 安全更新程序 (KB4500331) Windows XP

Windows 7 for 32-bit Systems Service Pack 1 & Windows 7 for x64-based Systems Service Pack 1:
KB4499175          KB4499164
Windows Server 2008 for 32-bit Systems Service Pack 2 & Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) & Windows Server 2008 for Itanium-Based Systems Service Pack 2 & Windows Server 2008 for x64-based Systems Service Pack 2 &Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation):
KB4499149          KB4499180
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 & Windows Server 2008 R2 for x64-based Systems Service Pack 1 & Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation):
KB4499164          KB4499175

缓解
以下缓解措施在你遇到的情形中可能会有所帮助。在所有情况下,即使你计划禁用远程桌面服务,Microsoft 也强烈建议你尽快安装此漏洞的更新:

1.禁用远程桌面服务(如果不需要)。

如果系统不再需要这些服务,根据保障安全的最佳做法,可考虑禁用这些服务。禁用不使用和不需要的服务有助于减少出现安全漏洞的可能性。

变通方法

以下变通办法在你遇到的情形中可能会有所帮助。在所有情况下,即使你计划保留这些变通办法,Microsoft 也强烈建议你尽快安装此漏洞的更新:

1.在运行受支持版本的 Windows 7、Windows Server 2008 和 Windows Server 2008 R2 的系统上启用网络级身份验证 (NLA)

你可以启用网络级身份验证以阻止未经身份验证的攻击者利用此漏洞。启用 NLA 后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。

2.在企业边界防火墙处阻止 TCP 端口 3389

TCP 端口 3389 用于启动与受影响组件的连接。在网络边界防火墙处阻止此端口将有助于防止位于防火墙后面的系统尝试利用此漏洞。这有助于防止网络遭受来自企业边界之外的攻击。在企业边界阻止受影响的端口是帮助避免基于 Internet 的攻击的最佳防御措施。然而,系统仍然可能容易受到来自其企业边界内的攻击。

评论卡