针对较旧版本的Windows的BlueKeep漏洞(CVE-2019-0708)旨在实现RDP协议,尚未来得及制造
噪音 ,因为是时候重新发布补丁了。 现在,所有新版本的Windows都位于受影响的区域。 如果您通过使用WannaCry方法通过来自Internet的直接攻击来评估利用漏洞的潜在威胁,则它与世界上数十万台主机和俄罗斯上万台主机相关。
有关削减的详细信息和建议。
如果成功利用了Windows中RDS远程桌面服务(CVE-2019-1181 / 1182)中发布的RCE漏洞,则未经身份验证的攻击者将允许未经身份验证的攻击者在受攻击的系统上远程执行代码。
要利用这些漏洞,攻击者就可以使用RDP向目标系统的远程桌面服务发送特制请求(RDP协议本身不容易受到攻击)。
重要的是要注意,利用此漏洞的任何恶意软件都有可能从一台易受攻击的计算机传播到另一台计算机,类似于WannaCry恶意软件在2017年在全球的传播。 为了成功进行操作,您只需要对具有Windows操作系统易受攻击版本的主机或服务器进行适当的网络访问,包括在外围发布系统服务的情况。
受影响的Windows操作系统版本:
- Windows 10 32位/基于x64
- Windows 10 1607版(用于32位/基于x64的系统)
- Windows 10 1703版(用于32位/基于x64的系统)
- Windows 10版本1709(用于32位/基于x64的系统)
- Windows 10版本1709(用于基于ARM64的系统)
- Windows 10版本1803(用于32位/基于x64的系统)
- Windows 10版本1803(用于基于ARM64的系统)
- Windows 10版本1809(用于32位/基于x64的系统)
- Windows 10版本1809(用于基于ARM64的系统)
- Windows 10版本1903(用于32位/基于x64的系统)
- Windows 10 1903版(用于基于ARM64的系统)
- Windows 7(用于32位/基于x64的系统)Service Pack 1
- Windows 8.1(用于32位/基于x64的系统)
- Windows RT 8.1
- Windows Server 2008 R2(用于基于Itanium的系统)Service Pack 1
- Windows Server 2008 R2(用于基于x64的系统)Service Pack 1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
推荐的:
- 根据公司的漏洞管理程序,从外围节点开始,然后再为整个基础结构安装针对易受攻击的Windows OS的必要更新:
portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1181
portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1182 - 如果外部边界上存在针对存在漏洞的OS的已发布RDP服务,请考虑限制(关闭)访问以消除漏洞。
目前,尚无有关这些漏洞的PoC /漏洞利用/漏洞利用的信息,但我们不建议延迟补丁,因为补丁的出现通常需要几天的时间。
可能的其他补偿措施:
- 启用网络级别身份验证(NLA)。 但是,如果攻击者具有可用于成功身份验证的有效凭据,则易受攻击的系统仍将易于受到远程代码执行(RCE)的攻击。
- 在安装更新之前,暂时关闭易受攻击版本的OS的RDP协议,使用远程访问资源的替代方法。