CVE-2019-0708 | 远程桌面服务远程执行代码漏洞

今天，微软发布了针对远程桌面服务（以前称为终端服务）的关键远程执行代码漏洞CVE-2019-0708的修复程序，该漏洞影响了某些旧版本的Windows。远程桌面协议（RDP）本身不容易受到攻击。此漏洞是预身份验证，无需用户交互。换句话说，该漏洞是“可传播的”，这意味着任何利用该漏洞的恶意软件都可能从受影响的计算机传播到受影响的计算机，就像2017年WannaCry恶意软件在全球蔓延一样。虽然我们观察到没有人在利用此漏洞，但黑客极有可能为此漏洞编写一个利用程序，并将其合并到他们的恶意软件中。

要利用此漏洞，攻击者需要通过RDP向目标系统远程桌面服务发送特制请求。

此次更新通过更正远程桌面服务处理连接请求的方式来解决漏洞。

影响范围

受影响的并且还在提供支持的系统包括Windows 7、Windows Server 2008 R2和Windows Server 2008。Windows提供支持的版本的下载可以在微软安全更新指南中找到。使用受影响版本的Windows并且开启了自动更新系统的用户会自动受到保护。

已经不提供支持的系统包括Windows 2003和Windows XP。如果您使用的是不支持的版本，解决此漏洞的最佳方法是升级到最新版本的Windows。尽管如此，我们还是对KB4500705中这些不提供支持Windows的版本进行了修复。

运行Windows 8和Windows 10的用户不会受到此漏洞的影响，而Windows的后续版本也不会受到影响。微软在加强其产品的安全性方面投入了大量资金，通常是通过重大的架构改进，而这些改进是不可能移植到Windows的早期版本的。

缓解措施

在启用了网络级身份验证(NLA)的受影响系统上，有部分缓解措施。

1.如果不需要，请禁用远程桌面服务。

如果您的系统不再需要这些服务，请考虑禁用它们。禁用未使用和不需要的服务有助于减少您的安全漏洞风险。

2.在运行Windows 7，Windows Server 2008和Windows Server 2008 R2的提供支持版本的系统上启用网络级别身份验证（NLA）

您可以启用网络级别身份验证，以阻止未经身份验证的攻击者利用此漏洞。启用NLA后，攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证，然后才能利用此漏洞。

3.在企业外围防火墙处阻止TCP端口3389

TCP端口3389用于启动与受影响组件的连接。在网络外围防火墙处阻止此端口将有助于保护防火墙后面的系统免于此漏洞的威胁，有助于保护网络免受来自企业外部的攻击。阻止企业外围的受影响端口是帮助避免基于Internet的攻击的最佳防御。

由于NLA在触发漏洞之前需要身份验证，因此受影响的系统可以缓解可能利用该漏洞的“蠕虫”恶意软件或新版的恶意软件威胁。但是，如果攻击者拥有可以用来成功验证身份的有效凭证，受影响的系统仍然容易受到远程代码执行(RCE)的攻击。

由于这些原因，我们强烈建议，所有受影响的系统，无论是否启用了NLA，都应尽快更新。

安全更新

下载链接整理自微软官方

Simon Pope，微软安全响应中心(MSRC)事件响应主管

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/?from=groupmessage&isappinstalled=0