windows远程桌面服务远程代码执行漏洞(CVE-2019-0708)的预警及解决方法
5月14日,微软发布了针对远程桌面服务远程执行代码漏洞(CVE-2019-0708)的补丁,未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时触发该漏洞。
漏洞描述
成功利用该漏洞可以在目标系统上执行任意代码,然后攻击者可以安装程序,查看、更改或删除数据,或创建具有完整用户权限的新帐户。此漏洞是预身份验证,无需用户交互,且影响范围广泛,从Windows XP到2008 R2。目前还没有公开的攻击代码,但不排除很快会有攻击者通过对比补丁分析构造攻击代码。
1.1漏洞编号
CVE-2019-0708
1.2漏洞等级
高危
修复建议
2.1受影响版本
Windows 7 for 32-bit SP1
Windows 7 for x64-based SP1
Windows Server 2008 for 32-bit SP2
Windows Server 2008 for 32-bit SP2 (Server Core installation)
Windows Server 2008 for Itanium-Based SP2
Windows Server 2008 for x64-based SP2
Windows Server 2008 for x64-based SP2 (Server Core installation)
Windows Server 2008 R2 for Itanium-BasedSystems SP1
Windows Server 2008 R2 for x64-based SP1
Windows Server 2008 R2 for x64-based SP1 (Server Core installation)
Windows Server 2003 SP2 x86
Windows Server 2003 SP2 x64
Windows XP SP3 x86
Windows XP SP2 x64
Windows XP Embedded SP3 x86
2.2解决方案
1.官方补丁
微软已经为该漏洞发布更新补丁(包括官方停止维护版本),请用户及时进行补丁更新。获得并安装补丁的方式有三种:内网WSUS服务、微软官网Microsoft Update服务、离线安装补丁。离线安装补丁下载地址如下:下载对应补丁安装包,双击运行即可进行修复。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
官方已停止维护版本漏洞补丁下载地址如下:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
2.临时解决方案
若暂不便安装补丁更新,可采取下列临时防护措施:
1、禁用远程桌面服务。
2、通过主机防火墙对远程桌面服务端口进行阻断(默认为TCP 3389)。
3、启用网络级认证(NLA),此方案适用于Windows 7、Windows Server 2008和Windows Server 2008 R2。启用NLA后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。