Windows RDP远程代码执行漏洞预警 CVE-2019-0708

基本情况

2019年5月14日,在微软发布的月度安全更新中,包含了一个针对编号为CVE-2019-0708的安全补丁,这是一个远程代码执行漏洞,可能允许未经身份验证的远程攻击者在运行远程桌面协议(RDP)的易受攻击目标上执行代码。

影响范围

  • Windows XP
  • Windows 7
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2

验证方法

通过DOS命令:systeminfo 查询系统补丁号,并参照以下列表进行排查,若不存在以下补丁号,则存在该漏洞。

Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
KB4499164

KB4499175
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for Itanium-Based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
KB4499149

KB4499180
案列

缓解措施

  1. 如果不需要,请禁用远程桌面服务
    如果您的系统不再需要这些服务,请考虑禁用它们作为安全性最佳实践。禁用未使用和不需要的服务有助于减少您的安全漏洞风险。
  2. 启用网络级别身份验证(NLA)
    启用网络级别身份验证,以阻止未经身份验证的攻击者利用此漏洞。启用NLA后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。
  3. 外网防火墙处阻止TCP端口3389
    TCP端口3389用于启动与受影响组件的连接。在网络外围防火墙处阻止此端口将有助于保护防火墙后面的系统免于尝试利用此漏洞。这有助于保护网络免受来自企业外部的攻击。阻止企业外围的受影响端口是帮助避免基于Internet的攻击的最佳防御。但是,系统仍然可能容易受到企业外围攻击。

解决方法

微软官方已针对该漏洞发布安全补丁,可通过Windows自带的Windows Update进行更新,或通过安全公告中的链接下载相关补丁进行手动更新。

相关安全公告链接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

发表评论

电子邮件地址不会被公开。 必填项已用*标注