关于Windows远程桌面服务远程代码执行漏洞CVE-2019-0708利用工具已公开的安全预警

微软公司在5月14日发布了5月安全补丁更新列表，其中包括被标记为严重的Windows远程桌面服务（RDP）远程代码执行漏洞（CVE-2019- 0708）的补丁。利用该漏洞，攻击者无需身份验证通过发送特定请求即可在目标系统上执行任意代码，获取目标系统的控制权限。海峡信息已于5月15号发布该漏洞安全通告。

9月7日凌晨，有开发者在GitHub上发布了Windows RDP服务远程代码执行漏洞（CVE-2019- 0708）的Metasploit利用代码模块，随着利用代码的发布和传播，降低了攻击者攻击的门槛，类似勒索病毒（如WannaCry）、挖矿、针对性攻击等安全威胁将不断增加，已经构成了非常严重的安全影响。

因此再次提醒未更新该漏洞补丁的用户尽快修复漏洞。

【受漏洞影响版本】

Ø Windows XP

Ø Windows Server 2003

Ø Windows 7

Ø Windows Server 2008

Ø Windows Server 2008 R2

【漏洞在线检测】

我司公共服务平台（http://www.fjssc.cn/poc/）已为该漏洞提供在线检测，各用户可检测互联网资产是否存在该漏洞。

【漏洞修复措施】

微软官方已在5月14日发布了CVE-2019- 070的补丁文件（包括已停止更新的Windows XP、Windows server 2003系统）。此漏洞危险程度极高且当前漏洞利用工具已公开，各用户应高度重视尽快下载相应补丁执行安装，并重启操作系统使之生效。

1、漏洞修复须知：

n 修复前做好完善的数据及程序备份并妥善保存，

n 修复报错时根据提示进行修正，可能的原因有：下载的补丁不适用此版本，系统磁盘空间不够，更新服务未开启，报错需重启系统再修复，原系统为精简或系统文件已破坏等；

n 操作系统具体版本，通过 “开始” 按钮，输入 winver命令确认；

n 安装后应重启操作系统让补丁生效，重系统重启前做好应急预案工作；

n 如补丁修复后蓝屏，可尝试原系统安装盘.iso进行系统修复安装。

2、各版本系统补丁下载地址：

1)        Windows XP

• 简体中文版

• http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe

• XP其他（语言）版本

• https://www.catalog.update.microsoft.com/Search.aspx?q=KB4500331%20Windows%20XP

• 【注】系统为XP SP3才能安装，XP SP2或SP1系统请先升级SP3大版本

2)        Windows Server 2003

• 简体中文版32位

• http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe

• 简体中文版64位

• http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c.exe

• 2003其他（语言）版本

• https://www.catalog.update.microsoft.com/Search.aspx?q=KB4500331%20Windows%20server%202003【注】系统为2003 SP2才能安装，2003 SP1系统请先升级SP2大版本

3)        Windows 7

• 32位

• http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu

• 64位

• http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu【注】系统为Windows 7 SP1才能安装，Windows 7系统请先升级SP1大版本

4)        Windows Server 2008

• 32位

• http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu

• 64位

• http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu【注】系统为2008 SP2才能安装，2008 SP1系统请先升级SP2大版本

5)        Windows Server 2008 R2

• http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

• 【注】系统为2008 R2 SP1才能安装，2008 R2系统请先升级SP1大版本

【漏洞威胁规避措施】

1)      禁止向互联网开放远程桌面服务（默认端口：3389），在互联网边界防火墙上审核安全策略，阻断远程桌面服务的连接。

黑盾防火墙限制远程桌面3389端口配置步骤参考：

a、基础策略-对象管理-服务对象，添加远程桌面3389端口，如下图所示：

b、基础策略-访问控制-过滤规则，添加规则，动作“拒绝”，具体配置如下：

2)      内网服务器如果不需要使用远程桌面服务，建议禁用该服务；若有需要，建议仅对业务需要的IP开放远程桌面服务；；

3)      在受影响版本的系统上启用网络级身份验证（NLA）。启用后，攻击者需要使用帐户对远程桌面服务进行身份验证，然后才能成功利用此漏洞（使用此方法部分堡垒机可能导致无法远程登录，应先进行测试）。

【注】远程桌面的默认端口为3389，若端口有修改过，可通过下面的命令查看（注意命令输出的是十六进制）：

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v portnumber 

参考链接

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0708#ID0EWIAC

更新信息请随时关注微信公众号：