2019年5月14日,微软发布了远程桌面服务远程代码执行漏洞(CVE-2019-0708)安全公告后,全球安全圈都持续密切关注,这一漏洞的存在将允许黑客通过开放的远程桌面服务直接入侵系统,执行任意命令。
此漏洞的危害面积非常广,CVE-2019-0708 是一个系统级的任意命令执行,这意味着如果服务器安装的是在漏洞影响范围内的 Windows 系统,且没有打上微软的补丁,只要你能够通过远程桌面连接到它,那么服务器就会遭到攻击。
这一漏洞的危害程度不亚于曾经被 WannaCry 利用的“永恒之蓝”,如果这一漏洞的利用代码公开,可能会有人利用这一漏洞开发 WannaCry 的变种,这会对全球的计算机带来极大的威胁。
受影响Windows版本
Microsoft Windows XP
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2003
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 7 for 32-bit Systems SP1
安全狗海青实验室密切关注该漏洞的利用演变及进展,目前可确定互联网上已公布稳定的利用脚本,可使得受影响的主机蓝屏,导致拒绝服务攻击,也就是说受影响的RDP机器随时有被远程搞崩溃的风险。在此,我们再次预警提醒广大用户注意防御,及时更新修复该漏洞规避安全风险。
据统计,全球约有 386 万的设备会受到此次漏洞的影响,其中美国和中国将会是重灾区。国外安全研究机构及个人声称已经复现并实现了远程真实利用程序(详情可参阅https://vimeo.com/339371343),但尚未得到证实。攻击者可能会使用传播该代码对系统进行远程拒绝服务攻击,或者修改该代码使其达到远程代码执行的效果。
修复建议:
及时安装微软发布的安全更新补丁:
由于Win8 和 Win 10不受CVE-2019-0708漏洞的影响,所以这些用户可以放心。对于Win 7和Server 2008用户而言,可以直接通过系统自动更新安装漏洞补丁。
若用户不需要用到远程桌面服务,建议禁用该服务。另外无法关闭远程服务时,建议开启网络级别身份验证(NLA),此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2.攻击者需要使用目标系统上的有效账户对远程桌面服务进行身份验证,才能成功利用该漏洞。微软官方建议,无论是否开启NLA,都应该尽快更新,彻底消除该漏洞的影响。
通过服务器安全狗扫描漏洞并修复
特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。