早在今年5月14日,Microsoft在最新的安全更新公告中披露了一则RDP远程代码执行漏洞。深信服安全团队在追踪到该漏洞情报时已经第一时间向广大用户推送预警,并提供相应的防范措施。深信服安全团队追踪该漏洞的时间轴具体如下:

目前,由于EXP(漏洞利用)的公开发布,恶意攻击者还很有可能利用该漏洞编写定制的恶意软件,官方描述此漏洞相关危害可参考2017年WannaCry事件,深信服在此建议用户及时安装补丁以避免受到损失。

什么是CVE-2019-0708?

CVE-2019-0708,属于远程代码执行漏洞,当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,即可以触发该漏洞。此漏洞属于预身份验证,无需用户交互,成功利用此漏洞的攻击者可以安装应用程序,查看、更改或删除数据或创建具有完全用户权限的新账户。

该漏洞的影响范围如何?

目前该漏洞主要影响使用Windows XP、Windows 7 、Windows Server 2003以及Windows Server 2008的相关用户。

截止目前,深信服追踪到在全球范围内对互联网开放RDP的资产数量已经多达1250万,其中美国地区对外开放的RDP数量排名第一,为341万台。排名第二与第三的分别是中国和德国,其中中国数量远远超过德国的数量。

▲RDP全球范围内情况分布

(统计数据仅为对互联网开放的资产)

由以上数据统计看来,国内RDP的使用基数很高,用户相当广泛。其中RDP使用量最高的三个省市是北京,浙江以及广东。北京的使用量最高,数量达864982台,浙江省的使用量也达57万以上,广东省的使用量达27万。因此,针对此次RDP的漏洞防范尤为重要。

▲RDP国内使用情况分布

(统计数据仅为对互联网开放的资产)

如何防范利用该漏洞的攻击?

修复建议:

1. 及时安装微软发布的安全更新补丁:

Microsoft官方已经在 2019年5月14日修复了该漏洞,用户可以通过安装微软的安全更新来给系统打上安全补丁,下载地址为:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

以及为已不受微软更新支持的系统Windows Server 2003和Windows XP提供的安全更新,下载地址:

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

2. 缓解措施(在无法及时安装微软安全更新的情况下作为临时性解决方案):

若用户不需要用到远程桌面服务,建议禁用该服务。

开启网络级别身份验证(NLA),此方案适用于Windows 7, Windows Server 2008, Windows Server 2008 R2。

以上缓解措施只能暂时性针对该漏洞对系统进行部分缓解,强烈建议在条件允许的情况下及时安装微软安全更新。

漏洞攻击防御:

深信服云眼在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。注册地址为:http://saas.sangfor.com.cn

深信服云镜在漏洞爆发的第一时间就完成从云端下发本地检测更新,部署云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。

EDR漏洞规则库紧急更新,支持Remote Desktop Protocol任意代码执行漏洞(CVE-2019-0708)的检测和补丁分发,漏洞规则库版本:20190515185804。联网用户可直接在线更新。 离线规则库已在5月16日上传至深信服社区,有需要的用户请到深信服社区下载。

关于深信服智安全

深信服智安全秉持面向未来、有效保护的安全理念,提供实用的安全产品、敏捷的安全服务和面向未来的安全解决方案。赋予用户持续进化的智能、防御、检测、响应与运营能力,为IT和业务提供持续保护,让安全建设更有效、更简单。