微软远程桌面服务远程代码执行漏洞（CVE-2019-0708）预警通告

通告概述

     2019年05月15日，微软公布了5月的补丁更新列表，在其中存在一个被标记为严重的RDP（远程桌面服务）远程代码执行漏洞，攻击者可以利用此漏洞远程无需用户验证通过发送构造特殊的恶意数据在目标系统上执行恶意代码，从而获取机器的完全控制。此漏洞主要影响的设备为Windows 7、Window Server 2008以及微软已不再支持的Windows 2003、Window XP操作系统，涉及系统在国内依然有大量的使用，所以此漏洞的影响面巨大，到2019年9月7日，奇安信全球鹰系统评估互联网上可被直接攻击的国内受影响RDP服务器还大量存在。由于漏洞利用无需用户交互的特性结合巨大的影响面，意味着该漏洞极有可能被蠕虫所利用，如果漏洞利用稳定有可能导致类似WannaCry蠕虫泛滥的情况发生。

  目前已经确认利用此漏洞可以至少非常稳定地触发受影响系统蓝屏崩溃从而导致拒绝服务，到5月31日已有公开渠道发布可以导致系统蓝屏崩溃的POC代码出现，有企图的攻击者可以利用此POC工具对大量存在漏洞的系统执行远程拒绝服务攻击。至2019年9月7日，已有可导致远程代码执行的Metasploit模块公开发布，随着工具的扩散，已经构成了蠕虫级的现实安全威胁。

  相关厂商微软针对此漏洞已经发布了安全补丁（包括那些已经不再提供技术支持的老旧操作系统），强烈建议用户立即安装相应的补丁或其他缓解措施以避免受到相关的威胁。

漏洞概要

漏洞描述

漏洞存在Windows的Remote Desktop Services（远程桌面服务）中，技术细节已知但在此不再详述，对于漏洞的利用无需用户验证，通过构造恶意请求即可触发导致任意指令执行，系统受到非授权控制。

影响面评估

此漏洞影响Windows 7、Window Server 2008以及微软已不再支持的Windows 2003、Window XP操作系统，目前通过技术评估，还存在大量未安装补丁的RDP服务在线，影响面巨大。而且，已有公开渠道发布可导致远程命令执行的漏洞利用Exploit发布，形成非常明确急迫的蠕虫级现实威胁，需要引起高度重视。

根据奇安信全球鹰系统的监测，随着漏洞被逐步地修补，国内存在漏洞并通过互联网可被远程攻击的IP还有大量存在，漏洞的修复状况不容乐观。

修复方法

1.      目前软件厂商微软已经发布了漏洞相应的补丁，建议进行相关升级

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC

Windows XP 及Windows 2003可以在以下链接下载补丁：

https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708

2.      奇安信公司推出了针对性的“CVE-2019-0708”漏洞检测修复工具1.0.0.1004版：

https://www.qianxin.com/other/CVE-2019-0708

临时解决方案

1.      如暂时无法更新补丁，可以通过在系统上启用网络及身份认证（NLA）以暂时规避该漏洞影响。

2.      在外围防火墙阻断TCP端口3389的连接，或对相关服务器做访问来源过滤，只允许可信IP连接。

3.      如无明确的需求，可禁用远程桌面服务。