漏洞預警| CVE-2019-0708 Windows RDP POC驗證成功

2019年5月14日,微軟官方在例行補丁日發布編號為CVE-2019-0708的漏洞公告,攻擊者利用該漏洞可能可以直接獲取Windows服務器權限,對目標系統執行任意代碼。 中新網安將對該漏洞進行持續關注,并第一時間為您更新相關漏洞信息。

【漏洞編號】CVE-2019-0708 


【漏洞名稱】Windows RDP遠程代碼執行高危漏洞 


【漏洞評級】嚴重


【影響版本】

1559524806735971.png

威脅描述】

該漏洞影響了某些舊版本的Windows系統。此漏洞是預身份驗證,無需用戶交互。遠程桌面服務(以前稱為終端服務)中存在遠程執行代碼漏洞,當未經身份驗證的攻擊者使用RDP(常見端口3389)連接到目標系統并發送特制請求時。利用此漏洞的攻擊者可以在目標系統上執行任意代碼;可以安裝程序; 查看、更改、刪除數據或創建具有完全控制權限的新帳戶。要利用此漏洞,攻擊者需要通過RDP向目標系統遠程桌面服務發送特制請求。


【POC驗證】

2019年5月31日檢測到github上有人發布了可導致遠程拒絕服務的POC代碼

(https://github.com/n1xbyte/CVE-2019-0708)

針對windows 7 x64的經驗證POC代碼真實有效。


1559524834748926.png


1559524853897632.png

攻擊者可能會使用傳播該代碼對系統進行遠程拒絕服務攻擊或者修改該代碼使其達到遠程代碼執行的效果。

【應對措施】

1. 通過windows系統自動升級功能或者手工下載安裝補丁。 補丁下載鏈接如下:

Windows 7 或 Windows Server 2008:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Windows XP 或 Windows Server 2003:

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708


2. 開啟網絡級身份驗證(NLA) 模式:

NLA要求的身份驗證在漏洞觸發之前,所以受影響的系統可以利用NLA防御此漏洞的“蠕蟲”惡意軟件或高級惡意軟件威脅。但如果攻擊者擁有可用于成功進行身份驗證的有效憑證,則受影響的四通仍會受到遠程代碼執行的攻擊。


3. 無需要使用遠程桌面的系統,應該禁用遠程桌面服務。

1) Windows 2003 系統關閉遠程桌面:


1. 打開 控制面板->系統->遠程>去掉‘啟用遠程這臺計算機上的遠程桌面’的對勾 ->應用->確定

1559524890457004.png

2. 打開 控制面板->windows防火墻->常規->啟用->服務->去掉遠程桌面對勾->確定

1559524937388222.png

2) Windows 2008 系統關閉遠程桌面:

 

1. 打開 控制面板->系統和安全->允許遠程訪問->不允許連接到這臺計算機->應用->確定

1559524996306895.png

2. 打開 控制面板->系統和安全->安全工具->服務->禁用->停止->應用->確定

1559525017181814.png