科技

漏洞預警 | 微軟 CVE-2019-0708 高危漏洞

更多全球網路安全資訊盡在E安全官網www.easyaq.com

一、安全公告2019年5月14日,微軟釋出了本月安全更新補丁,其中包含一個RDP(遠端桌面服務)遠端程式碼執行漏洞的補丁更新,對應CVE編號:CVE-2019-0708,相關資訊連結:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

微軟對此次補丁的描述內容如下:

遠端桌面協議(RDP)本身不易受攻擊,此漏洞是預身份驗證,不需要使用者互動,這意味著任何利用該漏洞的未來惡意軟體都可能以類似於2017年在全球傳播的Wannacry惡意軟體的方式從易受攻擊的計算機傳播到易受攻擊的計算機,雖然目前我們沒有發現該漏洞被利用,但惡意攻擊者很可能會針對該漏洞編寫一個漏洞利用程式並將其合併到惡意軟體中。現在重要的是儘快修補受影響的系統,以防止這種情況發生。

為了解決這個安全問題,此次微軟為所有客戶提供了安全更新,以保護Windows平臺,另外還提供了一些不支援的Windows版本(Windows 2003和Windows XP)的安全更新,所以也體現了這個安全問題的嚴重性。

二、 影響版本Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP Professional x64 Edition SP2

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 x64 Edition SP2

三、影響範圍通過安恆研究院SUMAP平臺對全球開啟了遠端桌面協議(RDP)的TCP 3389埠的資產統計,最新查詢分佈情況如下:

通過安恆研究院SUMAP平臺對國內開啟了遠端桌面協議(RDP)的TCP 3389埠的資產統計,最新查詢分佈情況如下:

四、緩解措施Windows 7、Windows Server 2008 R2和Windows Server 2008相關補丁更新可以參考《Microsoft安全更新指南》,訪問地址:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708。

如果當前Windows系統是微軟支援的版本,啟用了自動更新的客戶將會自動更新此補丁。

如果當前Windows系統是微軟不支援的版本,不支援的系統(Windows 2003和Windows XP),解決此漏洞的最佳方法是升級到最新版本的Windows系統,同時微軟也為這些舊的作業系統(Windows 2003和Windows XP)更新了安全補丁KB4500705來修復此漏洞,補丁更新地址:https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708。

執行Windows 8和Windows 10的客戶不受此漏洞的影響。對於啟用了網路級身份驗證(NLA)的受影響系統可以部分緩解。由於NLA在觸發漏洞之前需要身份驗證,因此受影響的系統可以抵禦可能利用該漏洞的“易受攻擊”惡意軟體或高階惡意軟體威脅。但是,如果攻擊者具有可用於成功進行身份驗證的有效憑據,則受影響的系統仍然容易受到遠端程式碼執行(RCE)攻擊。出於這些原因,微軟強烈建議儘快更新所有受影響的系統,無論NLA是否啟用。

五、安全運營建議高危:目前針對該漏洞的細節分析和利用程式碼暫未公開,不過攻擊者可以通過補丁對比方式分析出漏洞觸發點,進而開發漏洞利用程式碼,建議儘快進行安全更新或做好安全加固配置。

如果不需要開啟遠端桌面進行系統管理,根據保障安全的最佳做法,可考慮禁用這些服務。禁用不使用和不需要的服務有助於減少出現安全漏洞的可能性。

如果需要開啟遠端桌面進行系統管理,建議開啟系統防火牆或IP安全策略限制來源IP,即只允許指定IP訪問;

啟用本地安全策略(賬戶策略-密碼策略),建議開啟密碼必須符合複雜性要求和長度最小值,以及啟用賬戶鎖定閥值;

考慮使用雙因素身份驗證措施,比如啟用動態Key方式;

保持系統安全更新補丁為最新狀態,遠端桌面協議(RDP)為核心服務,安裝安全更新補丁後需要重啟系統生效;

開啟系統日誌記錄或網路安全裝置日誌記錄對訪問該埠的源IP進行記錄和存檔,以便預警和分析其入侵企圖;

考慮在核心交換機部署流量分析裝置,發現對RDP埠暴力破解密碼的攻擊行為,及時對攻擊IP做限定訪問的策略。

威脅推演:此漏洞為遠端程式碼執行漏洞,基於全球使用該產品使用者的數量和暴露在網上的埠情況,惡意攻擊者可能會開發針對該漏洞的自動化攻擊程式,實現漏洞利用成功後自動植入後門程式,並進一步釋放礦工程式或是DDOS殭屍木馬等惡意程式達到蠕蟲傳播,從而影響到系統服務的正常提供。

微軟補丁更新建議:微軟每月第二週週二會定期釋出安全更新補丁,建議企業訂閱和關注官方安全更新公告,及時測試補丁或做更新。

本文轉載自 安恆應急響應中心

推薦閱讀:

編制人談:等保2.0標準的“變”與“不變”

朝鮮網路間諜部署新惡意軟體,用於收集藍芽裝置資訊

伊朗成立特別工作組應對美國的網路威脅

不安全資料庫曝超2.75億印度公民的資訊記錄

想訪A網站卻被強制開啟B網站,上網被劫持怎麼辦?

G7集團將於6月模擬跨境網路攻擊

▼點選“閱讀原文” 檢視更多精彩內容

Reference:科技日報

看更多!請加入我們的粉絲團

轉載請附文章網址

不可錯過的話題