中新网安安全研究院CVE-2019-0708 Windows RDP 漏洞利用发布,已经构成了蠕虫级的攻击威胁

2019年5月14日,微软官方在例行补丁日发布编号为CVE-2019-0708的漏洞公告,攻击者利用该漏洞可能可以直接获取Windows服务器权限,对目标系统执行任意代码。中新网安将对该漏洞进行持续关注,并第一时间为您更新相关漏洞信息。

【漏洞编号】CVE-2019-0708 

【漏洞名称】Windows RDP远程代码执行高危漏洞 

【漏洞评级】严重

【影响版本】

1567940063952531.png

【威胁描述】

该漏洞影响了某些旧版本的Windows系统。此漏洞是身份验证,无需用户交互。远程桌面服务(以前称为终端服务)中存在远程执行代码漏洞,当未经身份验证的攻击者使用RDP(常见端口3389)连接到目标系统并发送特制请求时。利用此漏洞的攻击者可以在目标系统上执行任意代码;可以安装程序; 查看、更改、删除数据或创建具有完全控制权限的新帐户。要利用此漏洞,攻击者需要通过RDP向目标系统远程桌面服务发送特制请求。

【POC验证】

2019年5月31日检测到github上有人发布了可导致远程拒绝服务的POC代码

(https://github.com/n1xbyte/CVE-2019-0708

针对windows 7 x64的经验证POC代码真实有效。

32@OX_5{QPLNMC8@CVFPA)1.png

%WP%ZII%Y`6X2}9NJB2N`NF.png

攻击者可能会使用传播该代码对系统进行远程拒绝服务攻击或者修改该代码使其达到远程代码执行的效果。
2019年9月7日,metasploit-framework仓库公开发布了CVE-2019-0708的利用模块,漏洞利用工具已经开始扩散,已经构成了蠕虫级的攻击威胁。

1567940129273739.png

【应对措施】


1. 通过windows系统自动升级功能或者手工下载安装补丁。 补丁下载链接如下:
Windows 7 或 Windows Server 2008:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
Windows XP 或 Windows Server 2003:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
2. 开启网络级身份验证(NLA) 模式:
NLA要求的身份验证在漏洞触发之前,所以受影响的系统可以利用NLA防御此漏洞的“蠕虫”恶意软件或高级恶意软件威胁。但如果攻击者拥有可用于成功进行身份验证的有效凭证,则受影响的四通仍会受到远程代码执行的攻击。
3. 无需要使用远程桌面的系统,应该禁用远程桌面服务。
  1) Windows 2003 系统关闭远程桌面:


  1. 打开 控制面板->系统->远程>去掉‘启用远程这台计算机上的远程桌面’的对勾 ->应用->确定

1567940189921159.png

  2.打开 控制面板->windows防火墙->常规->启用->服务->去掉远程桌面对勾->确定

1567940223569075.png

2) Windows 2008 系统关闭远程桌面:

   1. 打开 控制面板->系统和安全->允许远程访问->不允许连接到这台计算机->应用->确定。

1567940259858769.png

 2.打开 控制面板->系统和安全->安全工具->服务->禁用->停止->应用->确定。

1567940284553121.png