已知Windows OS(CVE-2019-0708)中RDS远程桌面服务(在较早的操作系统-TS终端服务上)中的严重RCE漏洞,如果成功使用,它将允许未经身份验证的攻击者远程执行任意操作代码在系统上受到攻击。
根据Microsoft提供的信息,为使操作成功,仅需要对具有Windows操作系统易受攻击版本的主机或服务器进行网络访问。 因此,如果系统服务发布在外围,则可以直接从Internet利用漏洞,而无需其他交付方法。 建议削减的防护措施。
目前,该漏洞与俄罗斯的几十个组织以及全球超过200万的组织相关,并且及时响应和保护措施的延迟所造成的潜在损害将与SMB CVE-2017-0144(EternalBlue)协议中的漏洞所造成的损害相当。
要利用此漏洞,攻击者只需要使用RDP向目标系统的远程桌面服务发送特制请求(RDP协议本身
不容易受到攻击 )。
重要的是要注意,使用此漏洞的任何恶意软件都可以从一台易受攻击的计算机传播到另一台计算机,类似于2017年在全球传播的WannaCry勒索软件。
受影响的Windows操作系统版本:
Windows 7(用于32位系统)Service Pack 1
Windows 7(用于基于x64的系统)Service Pack 1
Windows Server 2008(用于32位系统)Service Pack 2
Windows Server 2008(用于32位系统)Service Pack 2(服务器核心安装)
Windows Server 2008(用于基于Itanium的系统)Service Pack 2
Windows Server 2008(用于基于x64的系统)Service Pack 2
Windows Server 2008(用于基于x64的系统)Service Pack 2(服务器核心安装)
Windows Server 2008 R2(用于基于Itanium的系统)Service Pack 1
Windows Server 2008 R2(用于基于x64的系统)Service Pack 1
Windows Server 2008 R2(用于基于x64的系统)Service Pack 1(服务器核心安装)
Windows XP SP3 x86
Windows XP专业x64版SP2
Windows XP嵌入式SP3 x86
Windows Server 2003 SP2 x86
Windows Server 2003 x64版本SP2
及时推荐:
- 对于以前在易受攻击的操作系统的外围上发布的RDP服务,请关闭此访问权限,直到修复该漏洞为止。
- 从外围节点开始,然后再为整个基础结构安装必要的Windows OS更新: Windows 7,Windows 2008 , Windows XP,Windows 2003的修补程序。
可能的其他补偿措施:
- 启用网络级别身份验证(NLA)。 但是,如果攻击者具有可用于成功身份验证的有效凭据,则易受攻击的系统仍将易于使用远程代码执行(RCE)。
- 在更新之前,请关闭RDP协议,并使用其他方法来访问资源。