Windows远程桌面服务远程代码执行漏洞(CVE-2019-1181、CVE-2019-1182)预警

时间 :  2019年08月14日  来源:  安天


1、概述


        2019年8月13日,微软官方发布的漏洞中包含两个的远程桌面服务(Remote Desktop Services)远程代码执行漏洞。这两个漏洞与之前修复的“BlueKeep”漏洞(CVE-2019-0708)一样,攻击者利用漏洞无需用户的交互,即可实施攻击,可用于传播类似“WannaCry”(魔窟)的蠕虫病毒。

        根据相关数据源统计,目前,全球公共网络中有300多万计算机开启了3389端口,即未改变端口的远程桌面服务(RDP),对于没有经过配置加固的内网更有大量机器开放相关端口服务。因此,该漏洞既可能造成互联网大面积的蠕虫传播、僵尸网络大面积感染,也能形成内网大面积横向移动攻击能力。

2、漏洞描述


        漏洞编号:CVE-2019-1181、CVE-2019-1182

        这两个漏洞允许未经身份验证的攻击者使用远程桌面服务连接到目标系统并发送特制请求,漏洞利用预身份验证,无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码,攻击者可以安装程序、查看、更改、删除数据,或创建具有完全用户权限的新帐户。


3、受影响范围


        受影响的Windows操作系统版本:

        Windows 10 for 32-bit Systems

        Windows 10 for x64-based Systems

        Windows 10 Version 1607 for 32-bit Systems

        Windows 10 Version 1607 for x64-based Systems

        Windows 10 Version 1703 for 32-bit Systems

        Windows 10 Version 1703 for x64-based Systems

        Windows 10 Version 1709 for 32-bit Systems

        Windows 10 Version 1709 for 64-based Systems

        Windows 10 Version 1709 for ARM64-based Systems

        Windows 10 Version 1803 for 32-bit Systems

        Windows 10 Version 1803 for ARM64-based Systems

        Windows 10 Version 1803 for x64-based Systems

        Windows 10 Version 1809 for 32-bit Systems

        Windows 10 Version 1809 for ARM64-based Systems

        Windows 10 Version 1809 for x64-based Systems

        Windows 10 Version 1903 for 32-bit Systems

        Windows 10 Version 1903 for ARM64-based Systems

        Windows 10 Version 1903 for x64-based Systems

        Windows 7 for 32-bit Systems Service Pack 1

        Windows 7 for x64-based Systems Service Pack 1

        Windows 8.1 for 32-bit systems

        Windows 8.1 for x64-based systems

        Windows RT 8.1

        Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

        Windows Server 2008 R2 for x64-based Systems Service Pack 1

        Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

        Windows Server 2012

        Windows Server 2012 (Server Core installation)

        Windows Server 2012 R2

        Windows Server 2012 R2 (Server Core installation)

        Windows Server 2016

        Windows Server 2016 (Server Core installation)

        Windows Server 2019

        Windows Server 2019 (Server Core installation)

        Windows Server, version 1803 (Server Core Installation)

        Windows Server, version 1903 (Server Core installation)

        值得注意的是,正在使用Windows 7 Service Pack 1或Windows Server 2008 R2 Service Pack 1的用户,只有安装了RDP 8.0或RDP 8.1,才会受漏洞影响。


4、修复及缓解建议


        1、 尽快为受影响的系统安装漏洞的补丁 [1] [2]。

        2、 如果不需要使用远程桌面服务,建议禁用该服务。

        3、 在受影响版本的系统上启用网络级身份验证(NLA);启用NLA后,攻击者需要使用目标系统上的有效账户对远程桌面服务进行身份验证,才能成功利用该漏洞。

        4、 在企业外围或边界防火墙上部署安全策略,阻止TCP端口3389。

        5、 安天智甲终端防御系统与安天资产安全运维系统组合使用,可以充分减少暴露面,形成威胁防御响应的基础框架。


5、安天智甲可以有效防护


        安天智甲可以帮助用户检测是否受漏洞影响,并安装补丁程序修复漏洞。


附录一:参考资料


        [1] CVE-2019-1181 | Remote Desktop Services Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

        [2] CVE-2019-1182 | Remote Desktop Services Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182