-
5月15日,微软发布安全补丁修复了������CVE编号为CVE-2019-0708的Windows远程桌面服务(RDP)远程代码执行漏洞,该漏洞在不需身份认证的情况下即可远程触发,危害与影响面极大。
奇安信通过全球鹰分析发现国内有超过150万台主机对外开放3389端口,可能受到漏洞影响。
Windows 远程�����桌面服务(RDP)主要用于管理人员对 Windows 服务器进行远����程管理,使用量极大。
近日,微软官方披露Windows中的远程桌面服务中存在远程代码执行漏洞,未经身份认证的攻击者可使用RDP协议连接��������到目标系统并发送精心构造的请求可触发该漏洞。
成功利用此漏洞的攻击者可在目标系统上执行任意代码,可安装����应用程序,查看、更改或删除数据,创������建完全访问权限的新账户等。
奇安信安全监测与响应中心风险评级为:高危
预警等级:蓝色预警(一般事件)
-
Windows 7 for 32-bit Systems Service Pack 1
-
Windows 7 for x64-based Systems Service Pack1
-
Windows Server 2008 for 32-��������bit SystemsService ����Pack 2
-
Windows Server 2008 for 32-bit SystemsService Pack 2 ���(Server Core�������� installation)
-
Windows Server 2����008 for Itanium-Based SystemsService Pack 2
-
Windows Server 2008 fo���������r x6������4-based SystemsService Pack 2
-
Windows Server 2008 for x64-based SystemsService Pack 2 (Ser����ver Core installation)
-
Windows Server 2008 R2 �����for Itanium-BasedSystems�������� Service Pack 1
-
Windows Server 200��������8 R2 for x64-based Syst�����emsService Pack 1
-
Windows Server 2008 �������R2 for x64-based SystemsService Pack 1 (Server Core installation)
-
Windows XP SP3 x86
-
Windows XP Professional x64 Edition SP2
-
Windows XP Embedded SP3 x86
-
Windows Server 2003 SP2 x86
-
Windows Server 2003 x64 Edition SP2
官方补丁
微软官方已经推出安全更新请参考以下官方安全通告下载并安装最 新补丁:
//support.microsoft.com/zh-cn/help/4500705/custome�����r-guidance-for-cve-2019�����-0708
//portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-�������������2019-0708
或根据以下表格查找对应的系统版本下载最 新补丁:
|
|
//download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058a������e8ff40789ab10bf41b.msu
|
|
|
//download.windowsupdate.com/d/msdownload/upd����ate/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
|
|
Windows Embedded Standard 7 for x64
|
������ //download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu
|
|
Windows Embedded Standard 7 for x86
|
//download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu
����
|
|
|
//download.windowsupdate.com/d/msdownload/����������update/software/secu/2019/05/windows6.0-kb4499149-x64_9236b098f7cea864f7638e7d4b77aa8f81f70fd6.msu
|
|
Windows Server 2008 Itanium
|
//download.windowsupdate.com/d/msdownload/update/software/s������ecu/2019/05/windows6.0-kb4499180-ia64_805e448d48ab8b1401377ab9845f39e1cae836d4�����.msu
|
|
|
//download.windowsupdate.com������/d/msdownload/update/software/secu/2019/05/windows6.0-kb4499149-x86_832cf179b302b861c83f2a92acc5e2a152405377.msu
|
|
Windows Server 2008 R2 Itanium
|
//download.windowsupdate.com/c/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-ia64_fa������bc8e54caa0d31a5abe8a0b347ab4a77������aa98c36.msu
|
|
Windows Server 2008 R2 x64
|
//download.windows������update.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45������ddf163d8049683d5a3b75e49b58cb.msu
|
|
|
//download.windowsupdate.com/d/csa/cs������a/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe
|
|
|
//download.win������dowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x64-custom-chs_f2f949a9a764ff93ea13095a0aca1fc507320d3c��������.exe
|
|
|
//download.windowsupd����ate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe
|
|
|
//download.windowsupdate.com/d/csa/cs��������a/secu/2019/04/windowsserver2003-kb4500331-x64-custom-enu_e2fd240c402134839cfa22227b11a5ec80ddafcf.exe
|
|
|
//download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsxp������-kb4500331-x86-embedded-custom-chs_96da48aaa9d9bcfe6cd820f239db2fe96500bfae.exe
|
缓解方法
1. 在企业边界防火墙处阻止 TCP 端口 3389
2. 使用天擎策略禁止远程桌面到终端。
a) 登录天擎控制台,进入策略中心——管控策略,创建新模板(或修改原有模板)
b) 启用“桌面加固”,将“计算机远程桌面到本机 ”设置为“禁用”。
c) 分发该策略到全网计算机。
修复方法
1. 更新奇安信集团2019.05.15.1版本及之后的补丁库。
2. 在策略中心修改策略为“安装补丁后自动重启”,系统补丁安装后�����必须要重启,否则并没有修复漏洞,仍然会被利用攻击。(6.6版本支持,其他版本的用户在单点维护中单点的下发重启任务,或者通过�����别的方法要求终端用户配合重启)
3. �����在天擎控制台——终端管理——漏洞管理——按终端显示,下发全�������网扫描任务,让所有的终端扫描补丁情况。
4. 在天擎控制台——终端管理——漏洞管理——按漏洞显示,�����找到需要紧急的漏洞对应的补丁,手动按分组分多个批次下发修复任务。
//port�������al������.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
