有關微軟遠程桌面服務存在遠程代碼執行漏洞安全與解決辦法通知
2019年5月15日,國家信息安全漏洞共享平臺(CNVD)收錄了Microsoft遠程桌面服務遠程代碼執行漏洞(CNVD-2019-14264,對應CVE-2019-0708)。攻擊者利用該漏洞,可在未授權的情況下遠程執行代碼。近日,漏洞利用代碼(EXP)已公開,引起了安全研究人員的廣泛關注,微軟公司官方補丁已發布。
一、漏洞情況分析
Microsoft Windows是美國微軟公司發布的視窗操作系統。遠程桌面連接是微軟從Windows 2000 Server開始提供的功能組件。
2019年5月14日,微軟發布了月度安全更新補丁,修復了遠程桌面協議(RDP)遠程代碼執行漏洞。未經身份驗證的攻擊者利用該漏洞,向目標 Windows主機發送惡意構造請求,可以在目標系統上執行任意代碼。由于該漏洞存在于RDP協議的預身份驗證階段,因此漏洞利用無需進行用戶交互操作, 存在被不法分子利用進行蠕蟲攻擊的可能。
近日,Metasploit發布了該漏洞的利用模塊,GitHub網站上也公開了該漏洞的利用代碼,引起了安全研究人員的廣泛關注,存在被不法分子利用進行蠕蟲傳播的可能。根據奇安信CERT團隊報送和CNVD秘書處驗證結果顯示,該漏洞利用僅對Windows 7 SP1 x64與Windows 2008 R2 x64(非系統默認配置)系統版本有效,在虛擬機環境下復現成功。
CNVD對該漏洞的綜合評級為“高危”。
二、漏洞影響范圍
漏洞影響的產品版本包括:
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems ServicePack 1
Windows Server 2008 for 32-bit SystemsService Pack 2
Windows Server 2008 for 32-bit SystemsService Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-BasedSystems Service Pack 2
Windows Server 2008 for x64-based SystemsService Pack 2
Windows Server 2008 for x64-based SystemsService Pack 2 (Server Core installation)
Windows Server 2008 R2 for Itanium-BasedSystems Service Pack 1
Windows Server 2008 R2 for x64-basedSystems Service Pack 1
Windows Server 2008 R2 for x64-basedSystems Service Pack 1 (Server Core installation)
Windows XP SP3 x86
Windows XP SP2 x64
Windows XP Embedded SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 SP2 x64
CNVD秘書處組織技術支撐單位對RDP服務在全球范圍內的分布情況進行分析,結果顯示該服務的全球用戶規模約為939.0萬,其中位于我國境內的用戶規模約為193.0萬。6月25日,CNVD秘書處對我國大陸地區開展漏洞影響情況普查工作,結果顯示我國大陸地區共有349322臺主機(IP)受此漏洞影響。
今日(9月7日)復測結果顯示,我國大陸仍然有204105臺主機未修復漏洞,修復率為41.6%,各省市數量分布情況如表1所示。我平臺已將結果數據與CNCERT各省分中心進行了及時共享。
表1:我國大陸地區各省漏洞存活IP數量分布情況
|
省份 |
數量 |
省份 |
數量 |
|
廣東 |
54239 |
云南 |
804 |
|
四川 |
37886 |
湖南 |
744 |
|
上海 |
31355 |
湖北 |
626 |
|
其他 |
15989 |
陜西 |
610 |
|
北京 |
15330 |
貴州 |
479 |
|
重慶 |
9546 |
江西 |
427 |
|
天津 |
9034 |
廣西 |
344 |
|
臺灣 |
5869 |
黑龍江 |
315 |
|
浙江 |
5195 |
新疆 |
296 |
|
江蘇 |
3971 |
甘肅 |
285 |
|
內蒙古 |
2651 |
吉林 |
277 |
|
山東 |
1608 |
寧夏 |
248 |
|
河南 |
1532 |
山西 |
214 |
|
福建 |
1204 |
海南 |
105 |
|
安徽 |
1048 |
青海 |
71 |
|
遼寧 |
938 |
西藏 |
22 |
|
河北 |
843 |
三、漏洞處置建議
微軟官方已于今年5月發布補丁修復此漏洞,CNVD建議用戶立即安裝安全補丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
另可采取下列臨時防護措施:
1、禁用遠程桌面服務。
2、通過主機防火墻對遠程桌面服務端口進行阻斷(默認為TCP 3389)。
3、啟用網絡級認證(NLA),此方案適用于Windows 7、Windows Server 2008和Windows Server 2008 R2。啟用NLA后,攻擊者首先需要使用目標系統上的有效帳戶對遠程桌面服務進行身份驗證,然后才能利用此漏洞。