2019年8月14日微软官方发布安全补丁,修复了两个Windows远程桌面服务的远程代码执行漏洞CVE-2019-1181/CVE-2019-1182,这两个漏洞影响了几乎目前所有受支持的Windows系统。
经身份验证的攻击者利用该漏洞,向目标服务端口发送恶意构造请求,可以在目标系统上执行任意代码。该漏洞的利用无需进行用户交互操作,这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机,与2019年5月14日修补的远程桌面服务的远程代码执行漏洞CVE-2019-0708和2017年WannaCry恶意软件的传播方式类似。
CNVD对该漏洞的综合评级为“高危”,建议用户立即进行补丁更新处理。
1.漏洞影响范围及处置建议:请参考国家信息安全漏洞共享平台(CNVD)相关公告(https://www.cnvd.org.cn/webinfo/show/5165);
2.临时缓解措施如下:
关闭企业边界防火墙上的TCP端口3389
如果系统上不再需要这些服务,可以考虑禁用
在受支持的Windows 7、Windows Server 2008和Windows Server 2008 R2版本的系统上启用网络身份验证(NLA),这使得攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证然后才能利用该漏洞
3.漏洞处置建议
目前,微软官方已发布补丁修复此漏洞,建议用户将相关系统版本立即升级至最新版本:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1222
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1226