聲明：該文章由作者（ksbugs）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

今天,微軟發(fā)布了針對遠程桌面服務(wù)(以前稱為終端服務(wù))的關(guān)鍵遠程執(zhí)行代碼漏洞CVE-2019-0708的修復(fù)程序,該漏洞影響了某些舊版本的Windows。遠程桌面協(xié)議(RDP)本身不容易受到攻擊。此漏洞是預(yù)身份驗證,無需用戶交互。換句話說,該漏洞是“可傳播的”,這意味著任何利用該漏洞的惡意軟件都可能從受影響的計算機傳播到受影響的計算機,就像2017年WannaCry惡意軟件在全球蔓延一樣。雖然我們觀察到?jīng)]有人在利用此漏洞,但黑客極有可能為此漏洞編寫一個利用程序,并將其合并到他們的惡意軟件中。?

要利用此漏洞,攻擊者需要通過RDP向目標系統(tǒng)遠程桌面服務(wù)發(fā)送特制請求。

此次更新通過更正遠程桌面服務(wù)處理連接請求的方式來解決漏洞。

影響范圍

受影響的并且還在提供支持的系統(tǒng)包括Windows 7、Windows Server 2008 R2和Windows Server 2008。Windows提供支持的版本的下載可以在微軟安全更新指南中找到。使用受影響版本的Windows并且開啟了自動更新系統(tǒng)的用戶會自動受到保護。

已經(jīng)不提供支持的系統(tǒng)包括Windows 2003和Windows XP。如果您使用的是不支持的版本,解決此漏洞的最佳方法是升級到最新版本的Windows。盡管如此,我們還是對KB4500705中這些不提供支持Windows的版本進行了修復(fù)。

運行Windows 8和Windows 10的用戶不會受到此漏洞的影響,而Windows的后續(xù)版本也不會受到影響。微軟在加強其產(chǎn)品的安全性方面投入了大量資金,通常是通過重大的架構(gòu)改進,而這些改進是不可能移植到Windows的早期版本的。

緩解措施

在啟用了網(wǎng)絡(luò)級身份驗證(NLA)的受影響系統(tǒng)上,有部分緩解措施。

1.如果不需要,請禁用遠程桌面服務(wù)。

如果您的系統(tǒng)不再需要這些服務(wù),請考慮禁用它們。禁用未使用和不需要的服務(wù)有助于減少您的安全漏洞風險。

2.在運行Windows 7,Windows Server 2008和Windows Server 2008 R2的提供支持版本的系統(tǒng)上啟用網(wǎng)絡(luò)級別身份驗證(NLA)

您可以啟用網(wǎng)絡(luò)級別身份驗證,以阻止未經(jīng)身份驗證的攻擊者利用此漏洞。啟用NLA后,攻擊者首先需要使用目標系統(tǒng)上的有效帳戶對遠程桌面服務(wù)進行身份驗證,然后才能利用此漏洞。
3.在企業(yè)外圍防火墻處阻止TCP端口3389

TCP端口3389用于啟動與受影響組件的連接。在網(wǎng)絡(luò)外圍防火墻處阻止此端口將有助于保護防火墻后面的系統(tǒng)免于此漏洞的威脅,有助于保護網(wǎng)絡(luò)免受來自企業(yè)外部的攻擊。阻止企業(yè)外圍的受影響端口是幫助避免基于Internet的攻擊的最佳防御。

由于NLA在觸發(fā)漏洞之前需要身份驗證,因此受影響的系統(tǒng)可以緩解可能利用該漏洞的“蠕蟲”惡意軟件或新版的惡意軟件威脅。但是,如果攻擊者擁有可以用來成功驗證身份的有效憑證,受影響的系統(tǒng)仍然容易受到遠程代碼執(zhí)行(RCE)的攻擊。

由于這些原因,我們強烈建議,所有受影響的系統(tǒng),無論是否啟用了NLA,都應(yīng)盡快更新。

安全更新

Simon Pope,微軟安全響應(yīng)中心(MSRC)事件響應(yīng)主管

轉(zhuǎn)自：白帽匯

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/