xiaohui 嘶吼专业版
2019年5月14日,微软紧急发布了针对远程桌面服务(Remote Desktop Service,RDP,以前称为终端服务)的远程执行代码漏洞CVE-2019-0708的修复程序,该漏洞影响了某些旧版本的Windows系统,比如Windows XP、Windows Server 2003、Windows 7、Windows Server 2008等。
从理论上讲,远程桌面服务本身并不容易受到***,但一旦被***,其后果可是不堪设想的。如果你还不知道该漏洞的威力,就请想一想2017年5月爆发的WannaCry(又叫Wanna Decryptor)。
CVE-2019-0708漏洞只需通过预认证(pre-authentication)且无需用户交互就能实现***,这意味着它和WannaCry一样,都属于一种“蠕虫式”的***。这个漏洞可以通过网络蠕虫的方式被利用,利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受***的计算机,其方式与2017年WannaCry恶意软件的传播方式类似。
虽然微软的安全响应中心(MSRC)暂时没有发现有利用此漏洞的恶意***样本,但还是要做到充分的准备。最近研究发现,恶意***者极有可能为此漏洞编写一个利用程序,并将其嵌入到他们自己的恶意软件中。
影响范围
· Windows 7;
· Windows Server 2008 R2;
· Windows Server 2008;
· Windows 2003;
· Windows XP;
请注意:Windows 8和Windows 10及之后版本的用户不受此漏洞影响。
修复办法
可以在Microsoft安全更新指南中找到支持Windows版本的下载,使用支持版本的Windows并启用自动更新的客户将自动受到保护。
不支持的系统包括Windows 2003和Windows XP,如果你使用的是不支持的版本,则解决此漏洞的最佳方法是升级到最新版本的Windows。即便如此,微软还是在KB4500705中为这些不支持的Windows版本提供了修复程序。
在启用了网络级别身份验证(NLA)的受影响系统上可能可以部分缓解可能利用此漏洞的“可疑”恶意软件或高级恶意软件的威胁,因为NLA在触发漏洞之前需要进行身份验证。但是,如果***者具有可用于成功进行身份验证的有效凭据,则受影响的系统仍然容易受到远程执行代码执行(RCE)的***。
出于这些原因,微软强烈建议所有受影响的系统(无论NLA是否启用),都应尽快更新。
可能的***威力
成功利用此漏洞的***者可以在目标系统上执行任意代码,然后***者可以安装恶意程序,进而查看、更改或删除目标设备上的数据,甚至创建具有完全用户权限的新帐户。
利用此漏洞的方法
要利用此漏洞,***者需要通过RDP向目标系统远程桌面服务发送送一个经过特殊设计请求。
参考及来源:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/?from=groupmessage&isappinstalled=0
