今天,微軟發(fā)布了針對遠(yuǎn)程桌面服務(wù)(以前稱為終端服務(wù))的關(guān)鍵遠(yuǎn)程執(zhí)行代碼漏洞CVE-2019-0708的修復(fù)程序,該漏洞影響了某些舊版本的Windows。遠(yuǎn)程桌面協(xié)議(RDP)本身不容易受到攻擊。此漏洞是預(yù)身份驗(yàn)證,無需用戶交互。換句話說,該漏洞是“可傳播的”,這意味著任何利用該漏洞的惡意軟件都可能從受影響的計(jì)算機(jī)傳播到受影響的計(jì)算機(jī),就像2017年WannaCry惡意軟件在全球蔓延一樣。雖然我們觀察到?jīng)]有人在利用此漏洞,但黑客極有可能為此漏洞編寫一個利用程序,并將其合并到他們的惡意軟件中。?

要利用此漏洞,攻擊者需要通過RDP向目標(biāo)系統(tǒng)遠(yuǎn)程桌面服務(wù)發(fā)送特制請求。

此次更新通過更正遠(yuǎn)程桌面服務(wù)處理連接請求的方式來解決漏洞。

影響范圍

受影響的并且還在提供支持的系統(tǒng)包括Windows 7、Windows Server 2008 R2和Windows Server 2008。Windows提供支持的版本的下載可以在微軟安全更新指南中找到。使用受影響版本的Windows并且開啟了自動更新系統(tǒng)的用戶會自動受到保護(hù)。

已經(jīng)不提供支持的系統(tǒng)包括Windows 2003和Windows XP。如果您使用的是不支持的版本,解決此漏洞的最佳方法是升級到最新版本的Windows。盡管如此,我們還是對KB4500705中這些不提供支持Windows的版本進(jìn)行了修復(fù)。

運(yùn)行Windows 8和Windows 10的用戶不會受到此漏洞的影響,而Windows的后續(xù)版本也不會受到影響。微軟在加強(qiáng)其產(chǎn)品的安全性方面投入了大量資金,通常是通過重大的架構(gòu)改進(jìn),而這些改進(jìn)是不可能移植到Windows的早期版本的。

緩解措施

在啟用了網(wǎng)絡(luò)級身份驗(yàn)證(NLA)的受影響系統(tǒng)上,有部分緩解措施。

1.如果不需要,請禁用遠(yuǎn)程桌面服務(wù)。

如果您的系統(tǒng)不再需要這些服務(wù),請考慮禁用它們。禁用未使用和不需要的服務(wù)有助于減少您的安全漏洞風(fēng)險(xiǎn)。

2.在運(yùn)行Windows 7,Windows Server 2008和Windows Server 2008 R2的提供支持版本的系統(tǒng)上啟用網(wǎng)絡(luò)級別身份驗(yàn)證(NLA)

您可以啟用網(wǎng)絡(luò)級別身份驗(yàn)證,以阻止未經(jīng)身份驗(yàn)證的攻擊者利用此漏洞。啟用NLA后,攻擊者首先需要使用目標(biāo)系統(tǒng)上的有效帳戶對遠(yuǎn)程桌面服務(wù)進(jìn)行身份驗(yàn)證,然后才能利用此漏洞。
3.在企業(yè)外圍防火墻處阻止TCP端口3389

TCP端口3389用于啟動與受影響組件的連接。在網(wǎng)絡(luò)外圍防火墻處阻止此端口將有助于保護(hù)防火墻后面的系統(tǒng)免于此漏洞的威脅,有助于保護(hù)網(wǎng)絡(luò)免受來自企業(yè)外部的攻擊。阻止企業(yè)外圍的受影響端口是幫助避免基于Internet的攻擊的最佳防御。

由于NLA在觸發(fā)漏洞之前需要身份驗(yàn)證,因此受影響的系統(tǒng)可以緩解可能利用該漏洞的“蠕蟲”惡意軟件或新版的惡意軟件威脅。但是,如果攻擊者擁有可以用來成功驗(yàn)證身份的有效憑證,受影響的系統(tǒng)仍然容易受到遠(yuǎn)程代碼執(zhí)行(RCE)的攻擊。

由于這些原因,我們強(qiáng)烈建議,所有受影響的系統(tǒng),無論是否啟用了NLA,都應(yīng)盡快更新。

安全更新

Simon Pope,微軟安全響應(yīng)中心(MSRC)事件響應(yīng)主管

轉(zhuǎn)自：白帽匯

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/