1.安全公告

2019年5月14日，微軟發(fā)布了5月安全更新補(bǔ)丁，其中包含一個(gè)RDP（遠(yuǎn)程桌面服務(wù)）遠(yuǎn)程代碼執(zhí)行漏洞的補(bǔ)丁更新，對(duì)應(yīng)CVE編號(hào)：CVE-2019-0708，相關(guān)信息鏈接：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708

根據(jù)公告，該漏洞存在于Windows比較老的版本中，主要包括：Windows  7、Windows Server 2008和更老的Windows XP、Windows Server  2003系統(tǒng)，如果這些系統(tǒng)開(kāi)啟遠(yuǎn)程桌面服務(wù)，默認(rèn)監(jiān)聽(tīng)端口TCP 3389，未安全更新容易受到攻擊。

根據(jù)微軟MSRC公告，該漏洞如被惡意利用可能被開(kāi)發(fā)成類(lèi)似2017年爆發(fā)的WannaCry蠕蟲(chóng)型快速自動(dòng)快速傳播病毒，建議及時(shí)安裝更新補(bǔ)丁，相關(guān)信息連接：

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

2.更新說(shuō)明

安恒應(yīng)急響應(yīng)中心在5月份就發(fā)布了相關(guān)預(yù)警，此后網(wǎng)上公開(kāi)了一些針對(duì)該漏洞的識(shí)別掃描代碼和能導(dǎo)致拒絕服務(wù)的POC代碼，具有穩(wěn)定利用的代碼僅在小范圍傳播，未見(jiàn)公開(kāi)，最近有人在github上的metasploit-framework漏洞利用框架工具平臺(tái)，提交了針對(duì)64位Windows  7和Windows Server 2008 R2（只有64位）版本利用的EXP代碼，利用代碼目標(biāo)指紋包括以下：

對(duì)于Windows  Server 2008 R2，需要修改注冊(cè)表項(xiàng)以通過(guò)RDPSND通道啟用heap grooming進(jìn)行堆利用，雖然目前版本只有Windows  7和2008 R2，但作者在Todo中已經(jīng)計(jì)劃開(kāi)發(fā)針對(duì)XP和2003等更多操作系統(tǒng)版本的利用代碼，建議及時(shí)安裝更新補(bǔ)丁。

除了：

Windows 7 x64 (所有SP版本)

Windows 2008 R2 x64 (所有SP版本)

未來(lái)這些版本都可能被開(kāi)發(fā)出利用代碼：

Windows 2000 x86 (所有SP版本)

Windows XP x86 (所有SP版本)

Windows 2003 x86 (所有SP版本)

Windows 7 x86 (所有SP版本)

利用代碼支持的目標(biāo)：

https://github.com/rapid7/metasploit-framework/pull/12283/files

3. 影響版本

RDP漏洞（CVE-2019-0708）影響Windows  Server 2008 R2以前版本，Windows XP、Windows Server  2003微軟本來(lái)已不再公開(kāi)提供安全更新補(bǔ)丁，但基于漏洞的嚴(yán)重性，微軟此次例外提供了XP和2003的補(bǔ)丁更新，受影響的系統(tǒng)列表如下：

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for Itanium-Based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows XP SP3 x86

Windows XP Professional x64 Edition SP2

Windows XP Embedded SP3 x86

Windows Server 2003 SP2 x86

Windows Server 2003 x64 Edition SP2

Windows 7、Windows Server 2008補(bǔ)丁下載：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708

Windows XP、Windows Server 2003補(bǔ)丁下載：

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

運(yùn)行Windows  8和Windows  10的用戶(hù)不受此漏洞的影響。對(duì)于啟用了網(wǎng)絡(luò)級(jí)身份驗(yàn)證（NLA）的受影響系統(tǒng)可以部分緩解。由于NLA在觸發(fā)漏洞之前需要身份驗(yàn)證，因此受影響的系統(tǒng)可以抵御可能利用該漏洞的“易受攻擊”惡意軟件或高級(jí)惡意軟件威脅。但是，如果攻擊者具有可用于成功進(jìn)行身份驗(yàn)證的有效憑據(jù)，則受影響的系統(tǒng)仍然容易受到遠(yuǎn)程代碼執(zhí)行（RCE）攻擊。出于這些原因，微軟強(qiáng)烈建議盡快更新所有受影響的系統(tǒng)，無(wú)論NLA是否啟用。

4. 影響范圍

通過(guò)安恒研究院SUMAP平臺(tái)對(duì)全球開(kāi)啟了遠(yuǎn)程桌面協(xié)議(RDP)的TCP 3389端口的資產(chǎn)統(tǒng)計(jì)，最新查詢(xún)分布情況如下：

通過(guò)安恒研究院SUMAP平臺(tái)對(duì)國(guó)內(nèi)開(kāi)啟了遠(yuǎn)程桌面協(xié)議(RDP)的TCP 3389端口的資產(chǎn)統(tǒng)計(jì)，最新查詢(xún)分布情況如下：

5.緩解措施

緊急：目前針對(duì)該漏洞的細(xì)節(jié)分析和利用代碼都已公開(kāi)，建議還未跟新補(bǔ)丁和采取加固措施的主機(jī)盡快進(jìn)行安全更新或做好安全加固配置。

針對(duì)RDP的安全運(yùn)營(yíng)建議：

如果需要開(kāi)啟遠(yuǎn)程桌面進(jìn)行系統(tǒng)管理，建議開(kāi)啟系統(tǒng)防火墻或IP安全策略限制來(lái)源IP，即只允許指定IP訪(fǎng)問(wèn)；

啟用本地安全策略（賬戶(hù)策略-密碼策略），建議開(kāi)啟密碼必須符合復(fù)雜性要求和長(zhǎng)度最小值，以及啟用賬戶(hù)鎖定閥值；

考慮使用雙因素身份驗(yàn)證措施，比如啟用動(dòng)態(tài)Key方式；

保持系統(tǒng)安全更新補(bǔ)丁為最新?tīng)顟B(tài)，遠(yuǎn)程桌面協(xié)議(RDP)為內(nèi)核服務(wù)，安裝安全更新補(bǔ)丁后需要重啟系統(tǒng)生效；

開(kāi)啟系統(tǒng)日志記錄或網(wǎng)絡(luò)安全設(shè)備日志記錄對(duì)訪(fǎng)問(wèn)該端口的源IP進(jìn)行記錄和存檔，以便預(yù)警和分析其入侵企圖；

考慮在核心交換機(jī)部署流量分析設(shè)備，發(fā)現(xiàn)對(duì)RDP端口暴力破解密碼的攻擊行為，及時(shí)對(duì)攻擊IP做限定訪(fǎng)問(wèn)的策略。

威脅推演：此漏洞為遠(yuǎn)程代碼執(zhí)行漏洞，基于全球使用該產(chǎn)品用戶(hù)的數(shù)量和暴露在網(wǎng)上的端口情況，惡意攻擊者可能會(huì)開(kāi)發(fā)針對(duì)該漏洞的自動(dòng)化攻擊程序，實(shí)現(xiàn)漏洞利用成功后自動(dòng)植入后門(mén)程序，并進(jìn)一步釋放礦工程序或是DDOS僵尸木馬等惡意程序達(dá)到蠕蟲(chóng)傳播，從而影響到系統(tǒng)服務(wù)的正常提供。

微軟補(bǔ)丁更新建議：微軟每月第二周周二會(huì)定期發(fā)布安全更新補(bǔ)丁，建議企業(yè)訂閱和關(guān)注官方安全更新公告，及時(shí)測(cè)試補(bǔ)丁或做更新。