关于Windows远程桌面服务远程代码执行漏洞的通知

发布时间:2019-06-03浏览次数:1408

各教学院(部)、机关部门,各专职科研机构、学术传播机构、校医院:      

2019514日,微软发布了安全更新补丁,其中包含一个RDP(远程桌面服务)远程代码执行漏洞的补丁更新,对应CVE编号:CVE-2019-0708,相关信息链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/

一、微软对此次补丁的描述内容如下:

远程桌面协议(RDP)本身不易受攻击,此漏洞是预身份验证,不需要用户交互,这意味着任何利用该漏洞的未来恶意软件都可能以类似于2017年在全球传播的Wannacry恶意软件的方式从易受攻击的计算机传播到易受攻击的计算机,虽然目前我们没有发现该漏洞被利用,但恶意攻击者很可能会针对该漏洞编写一个漏洞利用程序并将其合并到恶意软件中。现在重要的是尽快修补受影响的系统,以防止这种情况发生。

为了解决这个安全问题,此次微软为所有客户提供了安全更新,以保护Windows平台,另外还提供了一些不支持的Windows版本(Windows 2003Windows XP)的安全更新,所以也体现了这个安全问题的严重性。

二、 影响版本  

Windows 7 for 32-bit Systems Service Pack 1  

Windows 7 for x64-based Systems Service Pack 1  

Windows Server 2008 for 32-bit Systems Service Pack 2  

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)  

Windows Server 2008 for ItaniumBased Systems Service Pack2  

Windows Server 2008 for x64-based Systems Service Pack 2  

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)  

Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1  

Windows Server 2008 R2 for x64-based System Service Pack 1  

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)  

Windows XP SP3 x86  

 Windows XP Professional x64 Edition SP2  

Windows XP Embedded SP3 x86  

Windows Server 2003 SP2 x86  

Windows Server 2003 x64 Edition SP2  

三、缓解措施  

     Windows 7Windows Server 2008 R2Windows Server 2008相关补丁更新可以参考《Microsoft安全更新指南》,访问地址:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2019-0708

如果当前Windows系统是微软支持的版本,启用了自动更新的客户将会自动更新此补丁。

如果当前Windows系统是微软不支持的版本,不支持的系统(Windows 2003Windows XP),解决此漏洞的最佳方法是升级到最新版本的Windows系统,同时微软也为这些旧的操作系统(Windows 2003Windows XP)更新了安全补丁KB4500705来修复此漏洞,补丁更新地址:https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

运行Windows 8Windows 10的客户不受此漏洞的影响。对于启用了网络级身份验证(NLA)的受影响系统可以部分缓解。由于NLA在触发漏洞之前需要身份验证,因此受影响的系统可以抵御可能利用该漏洞的“易受攻击”恶意软件或高级恶意软件威胁。但是,如果攻击者具有可用于成功进行身份验证的有效凭据,则受影响的系统仍然容易受到远程代码执行(RCE)攻击。出于这些原因,微软强烈建议尽快更新所有受影响的系统,无论NLA是否启用。

四、安全运营建议  

高危: 目前针对该漏洞的细节分析和利用代码暂未公开,不过攻击者可以通过补丁对比方式分析出漏洞触发点,进而开发漏洞利用代码,建议尽快进行安全更新或做好安全加固配置,漏洞补丁下载见附件。

如果不需要开启远程桌面进行系统管理,根据保障安全的最佳做法,可考虑禁用这些服务。禁用不使用和不需要的服务有助于减少出现安全漏洞的可能性;  

如果需要开启远程桌面进行系统管理,建议修改默认远程端口。  


信息化办公室      

201963日